BIND9 DNS Dynamic Update DoS

10 views
Skip to first unread message

Yasushi Shinjo

unread,
Jul 30, 2009, 2:44:45 AM7/30/09
to
新城@筑波大学情報です。こんにちは。

DNS サーバ BIND9 に、次のような問題が見つかったそうです。

https://www.isc.org/node/474
------------------------------------------------------------
BIND Dynamic Update DoS
CVE: CVE-2009-0696
CERT: VU#725188
Posting date: 2009-07-28
Program Impacted: BIND
Versions affected: BIND 9 (all versions)
Severity: High
Exploitable: remotely
Summary: BIND denial of service (server crash) caused by
receipt of a specific remote dynamic update message.
------------------------------------------------------------

特に dynamic uupdate を受付ける設定をしていなくても、外から
変なメッセージを受け取ると、クラッシュしてしまうとのことです。
アクセス制御で止めても無駄とのこと。けっこうやばそうではあり
ます。

この問題は、あるゾーンのマスターになっていると出てくるという
ことなので、スレーブしかしてなかったり、キャッシュしかしてな
いような場合には、とりあえずは平気みたい。

\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報       \\

Shibuya, Nobuhiro

unread,
Jul 30, 2009, 5:13:53 AM7/30/09
to
Yasushi Shinjo wrote:

> この問題は、あるゾーンのマスターになっていると出てくるという
> ことなので、スレーブしかしてなかったり、キャッシュしかしてな
> いような場合には、とりあえずは平気みたい。

「とりあえず平気」とは言い切れないようです。
下記のMLポスト抜粋参照のこと。

Subject: [DNSOPS dnsops 657] Re: BIND Dynamic Update DoS
From: Yasuhiro Orange Morishita / =?ISO-2022-JP?B?GyRCPzkyPEJZOSgbKEI=?=
<yasu...@jprs.co.jp>
To: dns...@dnsops.jp
Date: Wed, 29 Jul 2009 16:30:09 +0900 (JST)

//
また、該当するnamedがDNSキャッシュサーバとして運用されている場合でも
いわゆるローカルゾーン、例えば0.0.127.in-addr.arpaやlocalhost等に対
しプライマリサーバとして設定されている場合には本脆弱性の対象となりま
すので、ご注意ください。

本脆弱性の詳細についてはUS-CERTからの脆弱性情報(*1)をご参照ください。

(*1)US-CERT Vulnerability Note VU#725188
<http://www.kb.cert.org/vuls/id/725188>
//
--
mailto:shi...@dd.iij4u.or.jp 渋谷伸浩

Yasushi Shinjo

unread,
Jul 30, 2009, 11:28:18 PM7/30/09
to
新城@筑波大学情報です。こんにちは。

In article <4A716451...@dd.iij4u.or.jp>


"Shibuya, Nobuhiro" <shi...@dd.iij4u.or.jp> writes:
> > この問題は、あるゾーンのマスターになっていると出てくるという
> > ことなので、スレーブしかしてなかったり、キャッシュしかしてな
> > いような場合には、とりあえずは平気みたい。
> 「とりあえず平気」とは言い切れないようです。

すみません。localhost のマスタになっていると、同じですね。
外からアクセスできるようなキャッシュ・サーバだと、外からの攻
撃で落とされますね。

多くのパッケージで、bind は更新されいますね。sunfreeware.com
のものも、更新されていました。

pkg-get upgrade bind

あと、うちだとソースから BIND 9.6.1-P1 をコンパイルしようと
すると、libxml2 を使おうとして失敗しました。
--with-libxml2=no としても、それを使うような
.c をコンパイルしようとして、#include で転けました。しょうが
ないので、libxml2 もインストールしたら、bind もうまくコンパ
イル通りました。libxml2 のインストールは簡単で、特に問題はあ
りませんでした。

http://xmlsoft.org/
ftp://xmlsoft.org/libxml2/libxml2-2.7.3.tar.gz

Shibuya, Nobuhiro

unread,
Jul 31, 2009, 1:10:00 AM7/31/09
to
Yasushi Shinjo wrote:

> 多くのパッケージで、bind は更新されいますね。sunfreeware.com
> のものも、更新されていました。

JPRSのみんみんさんが、続報で緊急性を訴えています。

Subject: [DNSOPS dnsops 663] Re: (緊急)BIND 9 の Dynamic Update 機
能の脆弱性を利用した DoS 攻撃について
Date: Fri, 31 Jul 2009 13:55:27 +0900

///
幸い実害の無いものだったのですが、実際にJPRSで運用しているDNSサーバの
1台が★攻撃に遭い落ちました★。
(JPRSを狙ったのか、たまたま狙った先がJPRSだったのかは不明ですが…)

未対処のままでは極めて危険な状態が続いています。

尚、対策済みのBINDであれば、攻撃を受けると以下ようなログが残ります。

updating zone 'example.jp/IN': update unsuccessful: ns.example.jp/ANY: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET)

未対策の場合、設定によってはログから攻撃元のソースアドレスを確認できる
場合もありますが、UDPなのでソースアドレスを偽装している可能性もあります。
///
--
mailto:shi...@dd.iij4u.or.jp 渋谷伸浩

Reply all
Reply to author
Forward
0 new messages