キャッシュDNSサーバ「BIND 9.x」にDoSの脆弱性(JPRS、JVN) | ScanNetSecurity
2019.12.11(水)

キャッシュDNSサーバ「BIND 9.x」にDoSの脆弱性(JPRS、JVN)

JPRSは、「BIND 9.xの脆弱性(システムリソースの過度な消費)について(CVE-2019-6477) - フルリゾルバ(キャッシュDNSサーバ)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨」とする緊急情報を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
株式会社日本レジストリサービス(JPRS)は11月21日、「BIND 9.xの脆弱性(システムリソースの過度な消費)について(CVE-2019-6477) - フルリゾルバ(キャッシュDNSサーバ)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨」とする緊急情報を発表した。独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)も同日、「ISC BIND にサービス運用妨害(DoS)の脆弱性」を発表している。

これは、開発元であるISCから脆弱性情報が発表されたもの。BIND 9.11.0以降では、RFC 7766で推奨事項とされた、ひとつのTCP接続で複数のDNSトランザクションの並列処理を可能にするQuery Pipeliningが、TCP-pipeliningとしてサポートされている。しかし、BIND 9.xでは2019年4月に公開された脆弱性CVE-2018-5743への対応により、TCPでの同時接続数を計算する方法を変更。この変更の影響により、TCP-pipeliningを用いた複数のDNSトランザクションの並列処理において、TCPでの同時接続数の制限がバイパスされてしまう。対象となるバージョンは次の通り。

・9.14系列:9.14.1~9.14.7
・9.12系列:9.12.4-P1~9.12.4-P2
・9.11系列:9.11.6-P1~9.11.12

これらのバージョンでは、ひとつのTCP接続から複数のDNSクエリが並列で送られた場合に、サービスの一時停止や品質低下などを発生させることが可能となる。ISCでは本脆弱性の深刻度(Severity)を「中(Medium)」と評価している。JPRSでは、脆弱性を修正したパッチバージョン(BIND 9.14.8/9.11.13)への更新、あるいは、各ディストリビューションベンダからリリースされる更新の適用を、速やかに実施するよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×