DNS サーバ BIND9 に、次のような問題が見つかったそうです。
https://www.isc.org/node/474
------------------------------------------------------------
BIND Dynamic Update DoS
CVE: CVE-2009-0696
CERT: VU#725188
Posting date: 2009-07-28
Program Impacted: BIND
Versions affected: BIND 9 (all versions)
Severity: High
Exploitable: remotely
Summary: BIND denial of service (server crash) caused by
receipt of a specific remote dynamic update message.
------------------------------------------------------------
特に dynamic uupdate を受付ける設定をしていなくても、外から
変なメッセージを受け取ると、クラッシュしてしまうとのことです。
アクセス制御で止めても無駄とのこと。けっこうやばそうではあり
ます。
この問題は、あるゾーンのマスターになっていると出てくるという
ことなので、スレーブしかしてなかったり、キャッシュしかしてな
いような場合には、とりあえずは平気みたい。
\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報 \\
> この問題は、あるゾーンのマスターになっていると出てくるという
> ことなので、スレーブしかしてなかったり、キャッシュしかしてな
> いような場合には、とりあえずは平気みたい。
「とりあえず平気」とは言い切れないようです。
下記のMLポスト抜粋参照のこと。
Subject: [DNSOPS dnsops 657] Re: BIND Dynamic Update DoS
From: Yasuhiro Orange Morishita / =?ISO-2022-JP?B?GyRCPzkyPEJZOSgbKEI=?=
<yasu...@jprs.co.jp>
To: dns...@dnsops.jp
Date: Wed, 29 Jul 2009 16:30:09 +0900 (JST)
//
また、該当するnamedがDNSキャッシュサーバとして運用されている場合でも
いわゆるローカルゾーン、例えば0.0.127.in-addr.arpaやlocalhost等に対
しプライマリサーバとして設定されている場合には本脆弱性の対象となりま
すので、ご注意ください。
本脆弱性の詳細についてはUS-CERTからの脆弱性情報(*1)をご参照ください。
(*1)US-CERT Vulnerability Note VU#725188
<http://www.kb.cert.org/vuls/id/725188>
//
--
mailto:shi...@dd.iij4u.or.jp 渋谷伸浩
In article <4A716451...@dd.iij4u.or.jp>
"Shibuya, Nobuhiro" <shi...@dd.iij4u.or.jp> writes:
> > この問題は、あるゾーンのマスターになっていると出てくるという
> > ことなので、スレーブしかしてなかったり、キャッシュしかしてな
> > いような場合には、とりあえずは平気みたい。
> 「とりあえず平気」とは言い切れないようです。
すみません。localhost のマスタになっていると、同じですね。
外からアクセスできるようなキャッシュ・サーバだと、外からの攻
撃で落とされますね。
多くのパッケージで、bind は更新されいますね。sunfreeware.com
のものも、更新されていました。
pkg-get upgrade bind
あと、うちだとソースから BIND 9.6.1-P1 をコンパイルしようと
すると、libxml2 を使おうとして失敗しました。
--with-libxml2=no としても、それを使うような
.c をコンパイルしようとして、#include で転けました。しょうが
ないので、libxml2 もインストールしたら、bind もうまくコンパ
イル通りました。libxml2 のインストールは簡単で、特に問題はあ
りませんでした。
http://xmlsoft.org/
ftp://xmlsoft.org/libxml2/libxml2-2.7.3.tar.gz
> 多くのパッケージで、bind は更新されいますね。sunfreeware.com
> のものも、更新されていました。
JPRSのみんみんさんが、続報で緊急性を訴えています。
Subject: [DNSOPS dnsops 663] Re: (緊急)BIND 9 の Dynamic Update 機
能の脆弱性を利用した DoS 攻撃について
Date: Fri, 31 Jul 2009 13:55:27 +0900
///
幸い実害の無いものだったのですが、実際にJPRSで運用しているDNSサーバの
1台が★攻撃に遭い落ちました★。
(JPRSを狙ったのか、たまたま狙った先がJPRSだったのかは不明ですが…)
未対処のままでは極めて危険な状態が続いています。
尚、対策済みのBINDであれば、攻撃を受けると以下ようなログが残ります。
updating zone 'example.jp/IN': update unsuccessful: ns.example.jp/ANY: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET)
未対策の場合、設定によってはログから攻撃元のソースアドレスを確認できる
場合もありますが、UDPなのでソースアドレスを偽装している可能性もあります。
///
--
mailto:shi...@dd.iij4u.or.jp 渋谷伸浩