(緊急)BIND 9.7.1/9.7.1-P1におけるRRSIGレコード処理の不具合

2010/7/16-1

以下のような緊急のリリース文がJPRSから出されています。 運用で関連される方はご注意下さい。

(緊急)BIND 9.7.1/9.7.1-P1におけるRRSIGレコード処理の不具合について - ルートゾーンのトラストアンカー設定の前に、必ず9.7.1-P2への更新を -

以下、リンク先URLに記載されている概要です。 詳細や対策等は、リンク先をご覧下さい。

BIND 9.7.1及び9.7.1-P1のRRSIGレコードの処理には不具合があり、DNSSECの信頼の連鎖が構築された任意のゾーンの権威DNSサーバに対し、namedを利用した遠隔からのDoS攻撃が可能となる脆弱性があることが、開発元のISCより報告されました。同時に本脆弱性を解決したバージョンである、BIND9.7.1-P2が緊急公開されています。

2010年7月15日(協定世界時)より、ルートゾーンにおけるDNSSECの正式運用が開始され、これを契機にキャッシュDNSサーバにおいて、ルートゾーンのトラストアンカーを設定しDNSSECによる名前検証機能を有効にする運用が増加していくと見込まれます。

しかし、BIND 9.7.1及び9.7.1-P1において現状のままでルートゾーンのトラストアンカーを設定した場合、該当のキャッシュDNSサーバを利用することにより、ルートゾーンからの信頼の連鎖が構築された任意のゾーンの権威DNSサーバに対するDoS攻撃が可能となるため、該当サーバにおいてルートゾーンのトラストアンカーを設定する前に、必ずBIND 9.7.1-P2への更新を実施する必要があります。

(via JANOG ML)

追記:DNSSEC正式運用の日程などのタイミング的な影響もあって、JPRSでは「緊急」としているのだろうと思いますが、トラストアンカーを設定しない状況ではDoS攻撃が出来る状況にはならないようです。 また、bind 9.7.1限定の問題のようです。

最近のエントリ

過去記事

過去記事一覧

IPv6基礎検定

YouTubeチャンネルやってます!