各位
ISC BIND 9 の脆弱性を使用したサービス運用妨害攻撃に関する注意喚起
BIND DoS Vulnerability by Dynamic Update Requests
https://www.jpcert.or.jp/at/2009/at090016.txt
I. 概要
ISC BIND 9 には、サービス運用妨害 (DoS) の原因となる脆弱性があります。BIND 9 は RFC 2136 で規定されている dynamic DNS updates をサポートしています。遠隔の第三者が、細工した dynamic DNS update パケットを送信することで BIND を使用した DNS サーバにサービス運用妨害 (DoS) 攻撃を行うことが可能です。
- dynamic update の設定をしていないサーバでも本脆弱性の影響を受けま
す。
- キャッシュサーバとして運用している BIND についても、localhost や
0.0.127.in-addr.arpa ゾーンのマスターとして設定している場合、本脆
弱性の影響を受けます。
なお、2009年7月31日、本脆弱性を使用した攻撃活動が国内でも確認されています。
II. 対象
対象となるバージョンは以下の通りです。
- BIND 9 全てのバージョン
III. 対策
1) ISC から脆弱性を修正したバージョンの BIND が公開されています。ま
た、一部の製品ベンダからも、修正済みのプログラムが提供されています。
十分なテストを実施の上、修正済みのプログラムの適用することをお勧め
します。
2) 何らかの理由によりバージョンアップが困難な場合には、稼働中の BIND
のプロセスの死活監視を行ってください。
* 更新: 2009年8月3日追記 ****************
本脆弱性を利用した攻撃が成功した場合、ログファイルに以下のような
エラーメッセージが残ります。
named[<プロセス番号>]: db.c:619: REQUIRE(type != ((dns_rdatatype_t)dns_rdatatype_any)) failed
named[<プロセス番号>]: exiting (due to assertion failure)
ログファイルを監視し、必要に応じてプロセス再起動を行うなどの対処
をしてください。
**************************************************
IV. 参考情報
ISC
BIND Dynamic Update DoS
https://www.isc.org/node/474
JVNVU#725188
ISC BIND 9 におけるサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/cert/JVNVU725188/index.html
(緊急)BIND 9のDynamic Update機能の脆弱性を利用したDoS攻撃について
http://jprs.jp/tech/security/bind9-vuln-dynamic-update.html
* 更新: 2009年8月3日追記 ****************
BIND9 Dynamic DNS の脆弱性について http://www.ntt.com/icto/security/images/sr200803101.pdf
**************************************************
Debian
DSA-1847-1 bind9 -- improper assert
http://www.debian.org/security/2009/dsa-1847
The FreeBSD Project
BIND named(8) dynamic update message remote DoS
http://security.freebsd.org/advisories/FreeBSD-SA-09:12.bind.asc
OpenBSD 4.5 errata
007: RELIABILITY FIX: July 29, 2009
http://www.openbsd.org/errata45.html#007_bind
Red Hat Network
Important: bind security update
http://rhn.redhat.com/errata/RHSA-2009-1179.html
Sun SunSolve
A Security Vulnerability in Solaris BIND named(1M) Due to
Insufficient Input Validation of Dynamic Update Requests Can Lead
to Denial of Service (DoS)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-264828-1
Ubuntu Security Notice USN-808-1
http://www.ubuntu.com/usn/usn-808-1
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2009-07-31 初版
2009-08-03 攻撃成功時のログと調査レポートへのリンク追加
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2009-0016
JPCERT/CC
2009-07-31(初版)
2009-08-03(更新)
JPCERT/CC Alert 2009-07-31
ISC BIND 9 の脆弱性を使用したサービス運用妨害攻撃に関する注意喚起
BIND DoS Vulnerability by Dynamic Update Requests
https://www.jpcert.or.jp/at/2009/at090016.txt
I. 概要
ISC BIND 9 には、サービス運用妨害 (DoS) の原因となる脆弱性があります。BIND 9 は RFC 2136 で規定されている dynamic DNS updates をサポートしています。遠隔の第三者が、細工した dynamic DNS update パケットを送信することで BIND を使用した DNS サーバにサービス運用妨害 (DoS) 攻撃を行うことが可能です。
- dynamic update の設定をしていないサーバでも本脆弱性の影響を受けま
す。
- キャッシュサーバとして運用している BIND についても、localhost や
0.0.127.in-addr.arpa ゾーンのマスターとして設定している場合、本脆
弱性の影響を受けます。
なお、2009年7月31日、本脆弱性を使用した攻撃活動が国内でも確認されています。
II. 対象
対象となるバージョンは以下の通りです。
- BIND 9 全てのバージョン
III. 対策
1) ISC から脆弱性を修正したバージョンの BIND が公開されています。ま
た、一部の製品ベンダからも、修正済みのプログラムが提供されています。
十分なテストを実施の上、修正済みのプログラムの適用することをお勧め
します。
2) 何らかの理由によりバージョンアップが困難な場合には、稼働中の BIND
のプロセスの死活監視を行ってください。
* 更新: 2009年8月3日追記 ****************
本脆弱性を利用した攻撃が成功した場合、ログファイルに以下のような
エラーメッセージが残ります。
named[<プロセス番号>]: db.c:619: REQUIRE(type != ((dns_rdatatype_t)dns_rdatatype_any)) failed
named[<プロセス番号>]: exiting (due to assertion failure)
ログファイルを監視し、必要に応じてプロセス再起動を行うなどの対処
をしてください。
**************************************************
IV. 参考情報
ISC
BIND Dynamic Update DoS
https://www.isc.org/node/474
JVNVU#725188
ISC BIND 9 におけるサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/cert/JVNVU725188/index.html
(緊急)BIND 9のDynamic Update機能の脆弱性を利用したDoS攻撃について
http://jprs.jp/tech/security/bind9-vuln-dynamic-update.html
* 更新: 2009年8月3日追記 ****************
BIND9 Dynamic DNS の脆弱性について http://www.ntt.com/icto/security/images/sr200803101.pdf
**************************************************
Debian
DSA-1847-1 bind9 -- improper assert
http://www.debian.org/security/2009/dsa-1847
The FreeBSD Project
BIND named(8) dynamic update message remote DoS
http://security.freebsd.org/advisories/FreeBSD-SA-09:12.bind.asc
OpenBSD 4.5 errata
007: RELIABILITY FIX: July 29, 2009
http://www.openbsd.org/errata45.html#007_bind
Red Hat Network
Important: bind security update
http://rhn.redhat.com/errata/RHSA-2009-1179.html
Sun SunSolve
A Security Vulnerability in Solaris BIND named(1M) Due to
Insufficient Input Validation of Dynamic Update Requests Can Lead
to Denial of Service (DoS)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-264828-1
Ubuntu Security Notice USN-808-1
http://www.ubuntu.com/usn/usn-808-1
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2009-07-31 初版
2009-08-03 攻撃成功時のログと調査レポートへのリンク追加
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
前
コメント
共 有
