【IT/セキュリティ】DNSサーバーの「BIND 9」に重大な脆弱性、企業などのキャッシュサーバーにも影響[12/06/05]
日本レジストリサービスは2012年6月5日、DNS(Domain Name System)サーバーソフトの「BIND 9」に突然の
サービス停止の可能性を含む重大な脆弱性が見つかったことを報告し、速やかに対応措置を取るよう
広く呼びかけた。これまでリリースされたBIND 9の全バージョンが今回の脆弱性の影響を受けるという。
同脆弱性は、「長さ0のrdataによってnamedが異常停止する」というもので、BINDの開発元であるISC
(Internet Systems Consortium)が6月4日(米国時間)に発表した。DNSで名前解決をする際にやりとりする
「資源レコード」(Resource Record、RR)内にある「RDATA」フィールドがヌル(サイズが0)であるDNSパケットを
DNSサーバーが処理しようとすると、サーバーがクラッシュしたり、サーバーメモリー内の情報がクライアントに
開示されたりする危険性がある。
RDATA部分には通常、ドメイン名(Aレコードの問い合わせ時)やメールサーバー情報(MXレコードの
問い合わせ時)などが入るが、DNSの仕様(RFC1035)では実験的(EXPERIMENTAL)な資源レコードとして
上記0サイズのケースを含む(最大6万5535オクテットまで)「NULL RDATA format」が定義されており、
今回これが悪用された形になる。
DNSサーバーには大まかに「権威サーバー」と「キャッシュサーバー」という二つの役割があるが(ほかに
「フォワーダー」などもあるがここでは省略)、今回の脆弱性では特にキャッシュサーバーに対しての影響が
大きいことをISCなどでは警告している。権威サーバーは、自身が管理するドメイン名の情報を答える側であり、
今回の脆弱性の影響を受けにくいのは、「管理者がデータを含まない(RDATAの長さが0である)試験的な
レコードタイプを使うように設定している場合だけ(影響を受ける)」(ISC)からだ。
一方、キャッシュサーバーはクライアント(リゾルバ)からの要求に応じて様々な権威DNSサーバーに対して
各種DNSの問い合わせを実行するサーバーであるため、ユーザーがキャッシュサーバーを通じて
当該資源レコードを検索するだけでサービス妨害(DoS)攻撃を遂行できてしまう。
このように非常に危険な脆弱性だが、ISCによれば回避策は「現在調査中」であり、一時的な回避策は
まだ見つかっていないという。ISCでは、抜本的な対策としてBIND 9.9.1-P1、9.8.3-P1、9.7.6-P1、9.6-ESV-R7-P1
へのアップグレード、またはディストリビューションベンダーがリリースするパッチの適用を強く勧めている。
BINDは、DNSサーバーとして世界で最も使われている。ISCの推計によれば、稼働中のDNSサーバーの
80%以上がBINDだという。キャッシュサーバーはプロバイダーなどに設置されているほか、企業が自前で
立てて運用しているケースも多い。上記数値と併せて考えると、相当数の企業のDNSサーバーが影響を
受けることが予想される。自前でDNSサーバーを運用している企業ユーザーは、すぐにでも対策に動いた方が
よいだろう。
▽ソース:ITpro (2012/06/05)
http://itpro.nikkeibp.co.jp/article/NEWS/20120605/400443/
サービス停止の可能性を含む重大な脆弱性が見つかったことを報告し、速やかに対応措置を取るよう
広く呼びかけた。これまでリリースされたBIND 9の全バージョンが今回の脆弱性の影響を受けるという。
同脆弱性は、「長さ0のrdataによってnamedが異常停止する」というもので、BINDの開発元であるISC
(Internet Systems Consortium)が6月4日(米国時間)に発表した。DNSで名前解決をする際にやりとりする
「資源レコード」(Resource Record、RR)内にある「RDATA」フィールドがヌル(サイズが0)であるDNSパケットを
DNSサーバーが処理しようとすると、サーバーがクラッシュしたり、サーバーメモリー内の情報がクライアントに
開示されたりする危険性がある。
RDATA部分には通常、ドメイン名(Aレコードの問い合わせ時)やメールサーバー情報(MXレコードの
問い合わせ時)などが入るが、DNSの仕様(RFC1035)では実験的(EXPERIMENTAL)な資源レコードとして
上記0サイズのケースを含む(最大6万5535オクテットまで)「NULL RDATA format」が定義されており、
今回これが悪用された形になる。
DNSサーバーには大まかに「権威サーバー」と「キャッシュサーバー」という二つの役割があるが(ほかに
「フォワーダー」などもあるがここでは省略)、今回の脆弱性では特にキャッシュサーバーに対しての影響が
大きいことをISCなどでは警告している。権威サーバーは、自身が管理するドメイン名の情報を答える側であり、
今回の脆弱性の影響を受けにくいのは、「管理者がデータを含まない(RDATAの長さが0である)試験的な
レコードタイプを使うように設定している場合だけ(影響を受ける)」(ISC)からだ。
一方、キャッシュサーバーはクライアント(リゾルバ)からの要求に応じて様々な権威DNSサーバーに対して
各種DNSの問い合わせを実行するサーバーであるため、ユーザーがキャッシュサーバーを通じて
当該資源レコードを検索するだけでサービス妨害(DoS)攻撃を遂行できてしまう。
このように非常に危険な脆弱性だが、ISCによれば回避策は「現在調査中」であり、一時的な回避策は
まだ見つかっていないという。ISCでは、抜本的な対策としてBIND 9.9.1-P1、9.8.3-P1、9.7.6-P1、9.6-ESV-R7-P1
へのアップグレード、またはディストリビューションベンダーがリリースするパッチの適用を強く勧めている。
BINDは、DNSサーバーとして世界で最も使われている。ISCの推計によれば、稼働中のDNSサーバーの
80%以上がBINDだという。キャッシュサーバーはプロバイダーなどに設置されているほか、企業が自前で
立てて運用しているケースも多い。上記数値と併せて考えると、相当数の企業のDNSサーバーが影響を
受けることが予想される。自前でDNSサーバーを運用している企業ユーザーは、すぐにでも対策に動いた方が
よいだろう。
▽ソース:ITpro (2012/06/05)
http://itpro.nikkeibp.co.jp/article/NEWS/20120605/400443/
|
|
|
2 :名刺は切らしておりまして:2012/06/05(火) 17:51:33.37 ID:fcCTJ8yz
サーバに不具合だとハードウェアの問題みたいに見えるだろ
「ソフト」を抜かすなよ
「ソフト」を抜かすなよ
3 :名刺は切らしておりまして:2012/06/05(火) 17:54:39.78 ID:LU3nOicF
4 :名刺は切らしておりまして:2012/06/05(火) 18:01:22.37 ID:vc5dugYR
ブラックアウト計画を実際にやろうとした匿名さんか何かの話題なのかね。
…あっちはルートサーバだから関係ないか?
…あっちはルートサーバだから関係ないか?
5 :名刺は切らしておりまして:2012/06/05(火) 18:02:31.45 ID:1eThjFT2
BINDって、インターネットの「かなめ」なのに、昔から問題多いね。他のDNSサーバーに
置換するって話もあったのに、ずーっとこれ使っているなぁ。
置換するって話もあったのに、ずーっとこれ使っているなぁ。
6 :名刺は切らしておりまして:2012/06/05(火) 18:11:19.67 ID:01cTFyWQ
でも、これよりマシなBINDってあるのか?
7 :名刺は切らしておりまして:2012/06/05(火) 18:16:54.56 ID:woJ1M7vq
重大な脆弱(きじゃく)性が見つかったようですね。 <あきもと煙り
8 :名刺は切らしておりまして:2012/06/05(火) 18:23:42.79 ID:p0WufdUa
ありゃま
9 :名刺は切らしておりまして:2012/06/05(火) 18:24:51.25 ID:Pd0k8QR8
ぬるぽ
10 :名刺は切らしておりまして:2012/06/05(火) 18:31:36.37 ID:9LpIDzch
割り算使う時は
分母がゼロかどうかチェックしろとあれ程
分母がゼロかどうかチェックしろとあれ程
11 :名刺は切らしておりまして:2012/06/05(火) 18:50:26.72 ID:l6kWvEbx
12 :名刺は切らしておりまして:2012/06/05(火) 18:56:23.06 ID:DPFJrf8F
DNSサーバで議論できるおまいらが羨ましい
どんなものかはわかるが細かいことはさっぱり・・
どんなものかはわかるが細かいことはさっぱり・・
13 :名刺は切らしておりまして:2012/06/05(火) 19:39:02.95 ID:TXtzaXCk
ウェハッハー
14 :名刺は切らしておりまして:2012/06/05(火) 19:41:31.25 ID:Mk/Ngnn9
なんでWindowsDNSの脆弱性は大騒ぎしないで
BINDだけこんなに話題になるんだ?
BINDだけこんなに話題になるんだ?
15 :名刺は切らしておりまして:2012/06/05(火) 19:46:40.41 ID:LmOpaLOZ
> 「管理者がデータを含まない(RDATAの長さが0である)試験的な
> レコードタイプを使うように設定している場合だけ(影響を受ける)」
こんな意味のない変態的な設定わざわざするわけない
> レコードタイプを使うように設定している場合だけ(影響を受ける)」
こんな意味のない変態的な設定わざわざするわけない
16 :ベテルギウス:2012/06/05(火) 19:49:33.69 ID:hB16qxHR
明日は World IPv6 Launch じゃねーか・・・
大丈夫かなぁ・・・
大丈夫かなぁ・・・
17 :名刺は切らしておりまして:2012/06/05(火) 19:53:34.01 ID:3zoh5Wlb
うちは NSD + unbound だから関係ない。
BINDはDNS界のsendmailだと言われて久しいが本家sendmailに比べると
頑張ってるよなあ。
BINDはDNS界のsendmailだと言われて久しいが本家sendmailに比べると
頑張ってるよなあ。
18 :名刺は切らしておりまして:2012/06/05(火) 20:00:07.78 ID:fpoxGZvu
>>14
シェアが圧倒的だし
シェアが圧倒的だし
19 :名刺は切らしておりまして:2012/06/05(火) 20:37:05.32 ID:D9SwsBIy
>>14
誰も使ってないからじゃない?
誰も使ってないからじゃない?
20 :名刺は切らしておりまして:2012/06/05(火) 20:51:13.50 ID:PkynULbo
21 :名刺は切らしておりまして:2012/06/05(火) 21:14:40.33 ID:ceeAZ6X8
今借りてる鯖BIND9動いてるよやべええええええええええええええ
22 :名刺は切らしておりまして:2012/06/05(火) 21:19:06.68 ID:OX3oQpxv
マスコミが記事に困ったんだろ、捏造までいかないけど昔から機材によりけりで存在してたと思うよ
とくにソニーの機材
とくにソニーの機材
23 :名刺は切らしておりまして:2012/06/05(火) 21:34:07.74 ID:JaqfiVNr
24 :名刺は切らしておりまして:2012/06/05(火) 21:38:11.21 ID:UxHeqv/g
>>14
むしろ、Win2000、NT4の時代ってWindows Serverなんてほとんど使われていなかったのに
鬼の首を取ったように報道されていたよな。Windowsの脆弱性ニュース。
なのに、UnixやMacの脆弱性はぜんぜんニュースにならんかった。
最近は技術者がかわったのかトレンドがかわったのかしれんが、
Windowsだからと言って叩かれるわけでもないし、Linuxだからと言ってベタほめされるわけでもないな。
業界の見識や意識が高くなったのかも
むしろ、Win2000、NT4の時代ってWindows Serverなんてほとんど使われていなかったのに
鬼の首を取ったように報道されていたよな。Windowsの脆弱性ニュース。
なのに、UnixやMacの脆弱性はぜんぜんニュースにならんかった。
最近は技術者がかわったのかトレンドがかわったのかしれんが、
Windowsだからと言って叩かれるわけでもないし、Linuxだからと言ってベタほめされるわけでもないな。
業界の見識や意識が高くなったのかも
25 :名刺は切らしておりまして:2012/06/05(火) 21:50:34.57 ID:p0WufdUa
26 :名刺は切らしておりまして:2012/06/05(火) 21:55:05.68 ID:UxHeqv/g
27 :名刺は切らしておりまして:2012/06/05(火) 21:59:02.59 ID:uXbWUpK3
よう、ジョンブル
助けてやってもいいがよ、「インドの藁をつかむ溺死者」ってことでOK?
おまえらお祭りしてる場合じゃねえよん
助けてやってもいいがよ、「インドの藁をつかむ溺死者」ってことでOK?
おまえらお祭りしてる場合じゃねえよん
28 :名刺は切らしておりまして:2012/06/05(火) 22:05:18.77 ID:p0WufdUa
29 :名刺は切らしておりまして:2012/06/06(水) 00:39:18.35 ID:o9qr4OOX
FreeBSD-2.2.8どうしようかな(´・ω・`)
30 :名刺は切らしておりまして:2012/06/06(水) 08:25:11.58 ID:bu7maW38
間違った情報を流し続けたら、それを信じてしまう
性善説のソフト。
性善説のソフト。
31 :名刺は切らしておりまして:2012/06/06(水) 08:31:05.58 ID:SY/RJsTL
場インドじゃないの?歯インド?
32 :名刺は切らしておりまして:2012/06/06(水) 08:35:33.70 ID:wVI3daQx
BINDにいまさらこんなバグが発見されたのか
33 :名刺は切らしておりまして:2012/06/06(水) 08:36:19.22 ID:SY/RJsTL
レイディガガのおまんこに反応して処理できなくなるんやて
おまえもな
おまえもな