CVE-2012-3817 [JP]: 高負荷のDNSSEC検証によってBIND9に"Bad Cache"表明違反が発生する

AA-00752

高負荷のDNSSEC検証によってBIND9に"Bad Cache"表明違反が発生する

概要: DNSSEC検証を有効にした状態でクエリを多数受けると、namedにおいて初期化前の無効なキャッシュデータが使用され表明違反を引き起こすことがあります。

CVE: CVE-2012-3817

文書バージョン: 2.0(原文バージョン)

公開日付: 2012年7月24日

影響を受けるプログラム: BIND 9

影響を受けるバージョン: 9.6-ESV-R1 から 9.6-ESV-R7-P1 まで; 9.7.1 から 9.7.6-P1 まで; 9.8.0 から 9.8.3-P1 まで; 9.9.0 から 9.9.1-P1 まで

深刻度: 重大(Critical)

攻撃方法: 遠隔から可能

詳細: BIND 9は、正しく設定されていないと見られるサーバや、確立できない(DNSSECの)信用の連鎖(chain of trust)のために失敗したクエリ名をキャッシュしています。DNSSEC検証が有効になっている状況でクエリ処理が高負荷となると、このキャッシュのデータが完全に初期化される前に利用される状況が生じ、これによって表明違反が引き起こされることがあります。

このバグはお使いのサーバでDNSSECの検証を有効にしていない限り引き起こされません。

ご注意: BIND 9.4および9.5も本問題の影響を受けますが、これらのバージョンはサポート期限を過ぎており("end of life", EOL)、ISCにおけるテストやセキュリティ修正の対象外です。現在サポート対象のバージョンに関する情報は、こちらをご参照ください:http://www.isc.org/software/bind/versions

CVSSスコア: 7.8

CVSS評価基準: (AV:N/AC:L/Au:N/C:N/I:N/A:C)

CVSS (Common Vulnerability Scoring System)についての詳細情報、および個別の環境におけるスコアの算出方法については、以下のリンクをご参照ください: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C)

一時的な回避策: 回避策は存在しません。

解決策: 現在お使いのバージョンのBINDにもっとも近いパッチリリースへのアップグレード。新しいバージョンは以下の通り
BIND 9.6-ESV-R7-P2
BIND 9.7.6-P2
BIND 9.8.3-P2
BIND 9.9.1-P2

最新版のダウンロードはこちらから: http://www.isc.org/downloads/all

攻撃状況: 現状で知られている攻撃事例はありません。

謝辞: IIS.seのEinar Lonn氏に感謝致します。

お問い合わせ先: 本勧告に関するご質問はこちらへお送りください: security-officer@isc.org.

ISCの脆弱性公開ポリシー: ISCのセキュリティ勧告に関する最新のポリシーおよび運用についてはこちらのリンクをご参照ください(英語): https://www.isc.org/security-vulnerability-disclosure-policy

免責事項(Legal Disclaimer):

(ご注意: この項の内容は英語の原文の参考訳です。より正確な情報が必要な場合は原文をご参照ください。また、原文と訳文の間に意味の違いがある場合は、原文の内容が正式です)

Internet Systems Consortium (ISC)は、本勧告を「現状のまま」提供しています。本勧告ではいかなる種類の保証(warranty or guarantee)についても述べていませんし、そうした保証を黙示してもいません。ISCは本勧告および本勧告が参照する資料に関するいかなる保証に ついても一切責任を負わないものとします。こうした保証には、商品適合性、特定目的への適合性、隠れた瑕疵の不在、および非侵害についての黙示的保証が含 まれますが、これらに限定するものではありません。本勧告および本勧告が参照する資料のご使用は、使用者ご自身の責任においてなされるものとします。 ISCは本勧告を(将来の)任意の時点で変更する可能性があります。

もし、この文書の独立した複製物に、この文書のURLが含まれていない場合、それは「未管理の複製物」です。未管理の複製物は、重要な情報を欠いていたり、内容が古かったり、事実関係に関する誤りを含んでいたりする可能性があります。