Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

BIND9 DNS Dynamic Update DoS

12 views
Skip to first unread message

Yasushi Shinjo

unread,
Jul 30, 2009, 2:44:45 AM7/30/09
to
新城@筑波大学情報です。こんにちは。

DNS サーバ BIND9 に、次のような問題が見つかったそうです。

https://www.isc.org/node/474
------------------------------------------------------------
BIND Dynamic Update DoS
CVE: CVE-2009-0696
CERT: VU#725188
Posting date: 2009-07-28
Program Impacted: BIND
Versions affected: BIND 9 (all versions)
Severity: High
Exploitable: remotely
Summary: BIND denial of service (server crash) caused by
receipt of a specific remote dynamic update message.
------------------------------------------------------------

特に dynamic uupdate を受付ける設定をしていなくても、外から
変なメッセージを受け取ると、クラッシュしてしまうとのことです。
アクセス制御で止めても無駄とのこと。けっこうやばそうではあり
ます。

この問題は、あるゾーンのマスターになっていると出てくるという
ことなので、スレーブしかしてなかったり、キャッシュしかしてな
いような場合には、とりあえずは平気みたい。

\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報       \\

Shibuya, Nobuhiro

unread,
Jul 30, 2009, 5:13:53 AM7/30/09
to
Yasushi Shinjo wrote:

> この問題は、あるゾーンのマスターになっていると出てくるという
> ことなので、スレーブしかしてなかったり、キャッシュしかしてな
> いような場合には、とりあえずは平気みたい。

「とりあえず平気」とは言い切れないようです。
下記のMLポスト抜粋参照のこと。

Subject: [DNSOPS dnsops 657] Re: BIND Dynamic Update DoS
From: Yasuhiro Orange Morishita / =?ISO-2022-JP?B?GyRCPzkyPEJZOSgbKEI=?=
<yasu...@jprs.co.jp>
To: dns...@dnsops.jp
Date: Wed, 29 Jul 2009 16:30:09 +0900 (JST)

//
また、該当するnamedがDNSキャッシュサーバとして運用されている場合でも
いわゆるローカルゾーン、例えば0.0.127.in-addr.arpaやlocalhost等に対
しプライマリサーバとして設定されている場合には本脆弱性の対象となりま
すので、ご注意ください。

本脆弱性の詳細についてはUS-CERTからの脆弱性情報(*1)をご参照ください。

(*1)US-CERT Vulnerability Note VU#725188
<http://www.kb.cert.org/vuls/id/725188>
//
--
mailto:shi...@dd.iij4u.or.jp 渋谷伸浩

Yasushi Shinjo

unread,
Jul 30, 2009, 11:28:18 PM7/30/09
to
新城@筑波大学情報です。こんにちは。

In article <4A716451...@dd.iij4u.or.jp>


"Shibuya, Nobuhiro" <shi...@dd.iij4u.or.jp> writes:
> > この問題は、あるゾーンのマスターになっていると出てくるという
> > ことなので、スレーブしかしてなかったり、キャッシュしかしてな
> > いような場合には、とりあえずは平気みたい。
> 「とりあえず平気」とは言い切れないようです。

すみません。localhost のマスタになっていると、同じですね。
外からアクセスできるようなキャッシュ・サーバだと、外からの攻
撃で落とされますね。

多くのパッケージで、bind は更新されいますね。sunfreeware.com
のものも、更新されていました。

pkg-get upgrade bind

あと、うちだとソースから BIND 9.6.1-P1 をコンパイルしようと
すると、libxml2 を使おうとして失敗しました。
--with-libxml2=no としても、それを使うような
.c をコンパイルしようとして、#include で転けました。しょうが
ないので、libxml2 もインストールしたら、bind もうまくコンパ
イル通りました。libxml2 のインストールは簡単で、特に問題はあ
りませんでした。

http://xmlsoft.org/
ftp://xmlsoft.org/libxml2/libxml2-2.7.3.tar.gz

Shibuya, Nobuhiro

unread,
Jul 31, 2009, 1:10:00 AM7/31/09
to
Yasushi Shinjo wrote:

> 多くのパッケージで、bind は更新されいますね。sunfreeware.com
> のものも、更新されていました。

JPRSのみんみんさんが、続報で緊急性を訴えています。

Subject: [DNSOPS dnsops 663] Re: (緊急)BIND 9 の Dynamic Update 機
能の脆弱性を利用した DoS 攻撃について
Date: Fri, 31 Jul 2009 13:55:27 +0900

///
幸い実害の無いものだったのですが、実際にJPRSで運用しているDNSサーバの
1台が★攻撃に遭い落ちました★。
(JPRSを狙ったのか、たまたま狙った先がJPRSだったのかは不明ですが…)

未対処のままでは極めて危険な状態が続いています。

尚、対策済みのBINDであれば、攻撃を受けると以下ようなログが残ります。

updating zone 'example.jp/IN': update unsuccessful: ns.example.jp/ANY: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET)

未対策の場合、設定によってはログから攻撃元のソースアドレスを確認できる
場合もありますが、UDPなのでソースアドレスを偽装している可能性もあります。
///
--
mailto:shi...@dd.iij4u.or.jp 渋谷伸浩

0 new messages