| エンタープライズ:ニュース | 2002/11/13 20:41:00 更新 |
BINDに複数の脆弱性――DoS攻撃の可能性も
米インターネット・セキュリティ・システムズは11月12日、DNSサーバとして広く利用されているBIND 4系列およびBIND 8系列に、リモートから悪用が可能な複数の脆弱性が存在すると警告した。
米インターネット・セキュリティ・システムズ(ISS)は現地時間の11月12日、DNSサーバとして広く利用されている「BIND」に、リモートから悪用が可能な複数の脆弱性が存在すると報告した。
今年10月、複数のDNSルートサーバにDoS(サービス拒否)攻撃が仕掛けられた事件は記憶に新しい。ISSによると、この脆弱性を悪用した攻撃はまだ報告されていないというが、時期が時期だけに慎重な対処が求められるだろう。
ISSのセキュリティ研究チーム、X-Forceが公開したアドバイザリによれば、影響があるのはBIND 8系列では8.3.3-RELまで、またBIND 4系列では4.9.10-RELまでのバージョンだ。BIND 9系列はこの脆弱性の影響を受けない。
ISSが公開したセキュリティホールは3種類ある。1つは、再帰問い合わせ(Recursion)を有効にしている場合、SIGレコードのキャッシュに問題があり、バッファオーバーフローを引き起こす恐れがあるというもの。これにより攻撃者が任意のコマンドを実行する可能性もあるという。これはBIND 4系列とBIND 8系列の両方に影響がある。
残る2つはDoS(サービス拒否)攻撃に分類されるものだ。1つは、有効なドメイン名内の存在しないサブドメインでDNS lookupをリクエストしたり、信頼できるDNSサーバに到達できないドメインでクエリしたりすることによって引き起こされるという。またもう1つは、有効期間が不正なSIG SIGレコードをキャッシュさせることによって、サーバを停止に追い込むというものだ。いずれも影響するのはBIND 8系列でRecursion機能を遊行している場合のみとなる。
ISSおよびBINDの開発・配布元であるインターネット・ソフトウェア・コンソーシアム(ISC)では、対策として、BINDを9.2.1にアップグレードするよう強く推奨している。
またISSによると、近日中にこれらの問題を解決したBIND 4.9.11/8.2.7/8.3.4が公開される方針という(11月13日午後9時時点では未公開)。運用上どうしてもBIND 9系列へのアップグレードが困難な場合は、こちらを待つしかない。
それまでの一時的な対策としては、Recursionを無効にすることが挙げられる。これすらも困難な場合、DNSサービスに影響が出るおそれもあるが、ネットワーク境界部にあるBINDについては、53/TCPポートをフィルタリングし、保護することが望ましいという。
注意点をもう1つ。これから最新のBINDを入手する際には、それが本当に正しいパッケージかどうかを確認する必要がある。ISCではPGP署名を公開しているため、これをチェックした上で適用するようにしたい。
関連記事
VeriSign、ルートサーバ移設ルートサーバ攻撃、失敗に終わるも脅威を残す関連リンク
ISCBIND4 および BIND8 でのリモートで利用可能な複数の脆弱点(日本語)ISS Advisories: Multiple Remote Vulnerabilities in BIND4 and BIND8[ITmedia]
