-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2009-0016 JPCERT/CC 2009-07-31(初版) 2009-08-03(更新) <<< JPCERT/CC Alert 2009-07-31 >>> ISC BIND 9 の脆弱性を使用したサービス運用妨害攻撃に関する注意喚起 BIND DoS Vulnerability by Dynamic Update Requests https://www.jpcert.or.jp/at/2009/at090016.txt I. 概要 ISC BIND 9 には、サービス運用妨害 (DoS) の原因となる脆弱性があります。 BIND 9 は RFC 2136 で規定されている dynamic DNS updates をサポートして います。遠隔の第三者が、細工した dynamic DNS update パケットを送信する ことで BIND を使用した DNS サーバにサービス運用妨害 (DoS) 攻撃を行うこ とが可能です。 - dynamic update の設定をしていないサーバでも本脆弱性の影響を受けま す。 - キャッシュサーバとして運用している BIND についても、localhost や 0.0.127.in-addr.arpa ゾーンのマスターとして設定している場合、本脆 弱性の影響を受けます。 なお、2009年7月31日、本脆弱性を使用した攻撃活動が国内でも確認されて います。 II. 対象 対象となるバージョンは以下の通りです。 - BIND 9 全てのバージョン III. 対策 1) ISC から脆弱性を修正したバージョンの BIND が公開されています。ま た、一部の製品ベンダからも、修正済みのプログラムが提供されています。 十分なテストを実施の上、修正済みのプログラムの適用することをお勧め します。 2) 何らかの理由によりバージョンアップが困難な場合には、稼働中の BIND のプロセスの死活監視を行ってください。 * 更新: 2009年8月3日追記 ***************************************    本脆弱性を利用した攻撃が成功した場合、ログファイルに以下のような エラーメッセージが残ります。 named[<プロセス番号>]: db.c:619: REQUIRE(type != ((dns_rdatatype_t)dns_rdatatype_any)) failed named[<プロセス番号>]: exiting (due to assertion failure) ログファイルを監視し、必要に応じてプロセス再起動を行うなどの対処 をしてください。 ****************************************************************** IV. 参考情報 ISC BIND Dynamic Update DoS https://www.isc.org/node/474 JVNVU#725188 ISC BIND 9 におけるサービス運用妨害 (DoS) の脆弱性 http://jvn.jp/cert/JVNVU725188/index.html (緊急)BIND 9のDynamic Update機能の脆弱性を利用したDoS攻撃について http://jprs.jp/tech/security/bind9-vuln-dynamic-update.html * 更新: 2009年8月3日追記 ***************************************   BIND9 Dynamic DNS の脆弱性について   http://www.ntt.com/icto/security/images/sr200803101.pdf ****************************************************************** Debian DSA-1847-1 bind9 -- improper assert http://www.debian.org/security/2009/dsa-1847 The FreeBSD Project BIND named(8) dynamic update message remote DoS http://security.freebsd.org/advisories/FreeBSD-SA-09:12.bind.asc OpenBSD 4.5 errata 007: RELIABILITY FIX: July 29, 2009 http://www.openbsd.org/errata45.html#007_bind Red Hat Network Important: bind security update http://rhn.redhat.com/errata/RHSA-2009-1179.html Sun SunSolve A Security Vulnerability in Solaris BIND named(1M) Due to Insufficient Input Validation of Dynamic Update Requests Can Lead to Denial of Service (DoS) http://sunsolve.sun.com/search/document.do?assetkey=1-66-264828-1 Ubuntu Security Notice USN-808-1 http://www.ubuntu.com/usn/usn-808-1 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ________ 改訂履歴 2009-07-31 初版 2009-08-03 攻撃成功時のログと調査レポートへのリンク追加 ====================================================================== JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEVAwUBSuERyDF9l6Rp7OBIAQiBlwf/b042Q3HTYSVF+IAIPF3Mib8LqCn9g9SA QaBuAH+3IlH4g652SugkkF1f2IIiYBGFHV6qtW3nMXTftm1EgdPhGdqc9ZYACKJT sxLQulR3VMiL3QlsnJsP7/z3qLlsbFDR5Lm/RePRVaDR8XF8yqEjTW1pv41FZ9jv IPDg6hI3MQmbngP0saEZYwkmAaPQKnP/bPZ0mUgC/7Uy1GhZLO15VqcnvwVZYgGD E1998zBoyP4lJ69q6sID8m4WBD5wALqUTgth1hsvlIoeWgaOhfU5i+8gBpx2UaN1 +90Gwoo4P6XbHjS/uvqNtRwPGPuE/R+Tcx4lt1NHggT0Pue1NCjcjg== =sfuN -----END PGP SIGNATURE-----