(緊急)BIND 9.7.1/9.7.1-P1におけるRRSIGレコード処理の不具合
以下のような緊急のリリース文がJPRSから出されています。 運用で関連される方はご注意下さい。
「(緊急)BIND 9.7.1/9.7.1-P1におけるRRSIGレコード処理の不具合について - ルートゾーンのトラストアンカー設定の前に、必ず9.7.1-P2への更新を -」
以下、リンク先URLに記載されている概要です。 詳細や対策等は、リンク先をご覧下さい。
BIND 9.7.1及び9.7.1-P1のRRSIGレコードの処理には不具合があり、DNSSECの信頼の連鎖が構築された任意のゾーンの権威DNSサーバに対し、namedを利用した遠隔からのDoS攻撃が可能となる脆弱性があることが、開発元のISCより報告されました。同時に本脆弱性を解決したバージョンである、BIND9.7.1-P2が緊急公開されています。
2010年7月15日(協定世界時)より、ルートゾーンにおけるDNSSECの正式運用が開始され、これを契機にキャッシュDNSサーバにおいて、ルートゾーンのトラストアンカーを設定しDNSSECによる名前検証機能を有効にする運用が増加していくと見込まれます。
しかし、BIND 9.7.1及び9.7.1-P1において現状のままでルートゾーンのトラストアンカーを設定した場合、該当のキャッシュDNSサーバを利用することにより、ルートゾーンからの信頼の連鎖が構築された任意のゾーンの権威DNSサーバに対するDoS攻撃が可能となるため、該当サーバにおいてルートゾーンのトラストアンカーを設定する前に、必ずBIND 9.7.1-P2への更新を実施する必要があります。
(via JANOG ML)
追記:DNSSEC正式運用の日程などのタイミング的な影響もあって、JPRSでは「緊急」としているのだろうと思いますが、トラストアンカーを設定しない状況ではDoS攻撃が出来る状況にはならないようです。 また、bind 9.7.1限定の問題のようです。
最近のエントリ
- 日本のIPv6採用状況が50%を超えている件について
- 「ピアリング戦記」の英訳版EPUBを無料配布します!
- IPv4アドレス移転の売買価格推移および移転組織ランキング100
- 例示用IPv6アドレス 3fff::/20 が新たに追加
- ShowNet 2024のL2L3
- ShowNet 2024 ローカル5G
過去記事
