CVE-2012-5688 [JP]: DNS64を利用するBIND 9サーバが細工されたクエリによってクラッシュする

AA-00832

DNS64を利用しているBINDネームサーバが、特定のクエリによってREQUIRE表明違反で停止することがあります。


文書バージョン:                2.0
公開日付: 
2012年12月4日
影響を受けるプログラム: 
BIND
影響を受けるバージョン: 
9.8.0->9.8.4, 9.9.0->9.9.2
深刻度: 
重大(Critical)
攻撃方法: 
遠隔から可能

詳細:

IPv6への移行技術であるDNS64機能を利用しているBIND 9ネームサーバにはソフトウェアの不具合があり、細工されたクエリによってREQUIRE表明違反を引き起こしてクラッシュさせることが可能です。本不具合に対する攻撃は遠隔から簡単に引き起こすことが可能であり、影響を受けるサーバに対してサービス不能攻撃の原因となります。

注: DNS64機能のサポートはBIND 9のバージョン9.8.0で追加されました。したがって、9.8.0より前のバージョンのBIND 9は本不具合の影響を受けません。また、9.8.0以降のバージョンは、"dns64"文を設定してDNS64機能を有効にしている場合にのみ影響を受けます。DNS64機能を利用していない場合は本問題は引き起こされません。

現在サポート対象のバージョンに関する情報は、こちらをご参照ください:  http://www.isc.org/software/bind/versions 

影響:

DNS64機能を利用するよう設定されたすべてのBIND 9ネームサーバについて本不具合の影響があり、そのサーバにクエリを送信できる任意のクライアントによってクラッシュさせられる可能性があります。

CVSS スコア:  7.8

CVSS 評価基準:  (AV:N/AC:L/Au:N/C:N/I:N/A:C)

CVSS (Common Vulnerability Scoring System)についての詳細情報、および個別の環境におけるスコアの算出方法については、以下のリンクをご参照ください:http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C)

一時的な回避策:

DNS64機能を利用するよう設定されたBIND 9サーバのみが本脆弱性の影響を受けます。これらのサーバについては、信頼できないクライアントからのクエリを拒絶すること(これ自体はいずれにしても推奨される運用です)によって影響を若干軽減できますが、本不具合を利用した攻撃を完全に防ぐ回避策はありません。もしDNS64をお使いの場合は、設定で無効にするか修正バージョンにアップグレードしてください。

攻撃事例: 

知られている攻撃事例はありません。

解決策:  現在お使いのバージョンのBINDにもっとも近いパッチリリースへのアップグレード。これらは以下からダウンロード可能です: http://www.isc.org/downloads/all.

  • BIND 9 バージョン 9.8.4-P1
  • BIND 9 バージョン 9.9.2-P1

謝辞:  本不具合を報告してくださったBlueCat Networksに感謝致します。

改訂履歴(原文):

1.0 - 2012年11月27日 事前通知フェーズ1
1.1 - 2012年12月3日 フェーズ2,3通知
2.0 - 2012年12月4日 フェーズ4通知(一般公開)

関連ドキュメント:

全セキュリティ脆弱性と影響を受けるバージョンについてはこちらの BIND Security Matrix をご参照ください。

ISCのフォーラムまたは製品サポートについての情報をご希望の場合はこちらをご参照ください: www.isc.org/software/guild または www.isc.org/support.

さらにご質問がある場合  本勧告に関するご質問はこちらへお送りください: security-officer@isc.org

ISCの脆弱性公開ポリシー:  ISCのセキュリティ勧告に関する最新のポリシーおよび運用についてはこちらのリンクをご参照ください(英語): https://www.isc.org/security-vulnerability-disclosure-policy

英文の知識ベース文書 https://kb.isc.org/article/AA-00828 が完全かつ公式のセキュリティ勧告文書です。概要は以下のwebページでも公開しています: https://www.isc.org/software/bind/advisories/cve-2012-5688

免責事項(Legal Disclaimer): 

(ご注意: この項の内容は英語の原文の参考訳です。より正確な情報が必要な場合は原文をご参照ください。また、原文と訳文の間に意味の違いがある場合は、原文の内容が正式です)

Internet Systems Consortium (ISC)は、本勧告を「現状のまま」提供しています。本勧告ではいかなる種類の保証(warranty or guarantee)についても述べていませんし、そうした保証を黙示してもいません。ISCは本勧告および本勧告が参照する資料に関するいかなる保証に ついても一切責任を負わないものとします。こうした保証には、商品適合性、特定目的への適合性、隠れた瑕疵の不在、および非侵害についての黙示的保証が含 まれますが、これらに限定するものではありません。本勧告および本勧告が参照する資料のご使用は、使用者ご自身の責任においてなされるものとします。 ISCは本勧告を(将来の)任意の時点で変更する可能性があります。もし、この文書の独立した複製物や、この文書を言い換えたものに、この文書のURLが 含まれていない場合、それは「未管理の複製物」です。未管理の複製物は、重要な情報を欠いていたり、内容が古かったり、事実関係に関する誤りを含んでいたりする可能性があります。