キャッシュDNSサーバ「BIND 9.x」にDoSの脆弱性（JPRS、JVN）

JPRSは、「BIND 9.xの脆弱性（システムリソースの過度な消費）について（CVE-2019-6477） - フルリゾルバ（キャッシュDNSサーバ）／権威DNSサーバーの双方が対象、バージョンアップを強く推奨」とする緊急情報を発表した。

脆弱性と脅威

2019.11.25 Mon 8:05

株式会社日本レジストリサービス（JPRS）は11月21日、「BIND 9.xの脆弱性（システムリソースの過度な消費）について（CVE-2019-6477） - フルリゾルバ（キャッシュDNSサーバ）／権威DNSサーバーの双方が対象、バージョンアップを強く推奨」とする緊急情報を発表した。独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）も同日、「ISC BIND にサービス運用妨害（DoS）の脆弱性」を発表している。

これは、開発元であるISCから脆弱性情報が発表されたもの。BIND 9.11.0以降では、RFC 7766で推奨事項とされた、ひとつのTCP接続で複数のDNSトランザクションの並列処理を可能にするQuery Pipeliningが、TCP-pipeliningとしてサポートされている。しかし、BIND 9.xでは2019年4月に公開された脆弱性CVE-2018-5743への対応により、TCPでの同時接続数を計算する方法を変更。この変更の影響により、TCP-pipeliningを用いた複数のDNSトランザクションの並列処理において、TCPでの同時接続数の制限がバイパスされてしまう。対象となるバージョンは次の通り。

・9.14系列：9.14.1～9.14.7
・9.12系列：9.12.4-P1～9.12.4-P2
・9.11系列：9.11.6-P1～9.11.12

これらのバージョンでは、ひとつのTCP接続から複数のDNSクエリが並列で送られた場合に、サービスの一時停止や品質低下などを発生させることが可能となる。ISCでは本脆弱性の深刻度（Severity）を「中（Medium）」と評価している。JPRSでは、脆弱性を修正したパッチバージョン（BIND 9.14.8/9.11.13）への更新、あるいは、各ディストリビューションベンダからリリースされる更新の適用を、速やかに実施するよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》