BIND の "update-policy local;" の動作仕様変更について
最終更新: 2018-03-19
ISC は 2018年3月14日にリリースされた BIND (9.9.12, 9.10.7, 9.11.3, 9.12.1) から named.conf 内の "update-policy local;" に関する動作仕様を変更しました。
Internet Systems Consortium, Inc. (ISC)
Operational Notification: "update-policy local" was named misleadingly and could permit non-local DDNS updates
https://kb.isc.org/article/AA-01599
これまでの "update-policy local;" の動作では、自動生成されたセッションキー (デフォルトで local-ddns という名前) を使用してアップデートリクエストに対する認証を行っており、IP アドレスベースのアクセス制限は設定されていない状態でした。この鍵はローカル環境に保持されており、使用者がサーバの外に持ち出さないという前提のもとで、ローカル環境からのアップデートリクエストのみを許可する意味になっていました。今回の変更では、"update-policy local;" の動作はローカルな IP アドレスからの接続であることも確認するように変更されています。
ISC では推奨していませんが、"update-policy local;" を使用して、サーバ外からのアップデートリクエストを受け付ける運用を行っている場合、2018年3月14日にリリースされた BIND では、次のように設定を行うことで動作仕様変更前と同じ動作を行うことができるとのことです。
- 動作仕様変更前と同じ動作を行うための設定 (local-ddns という名前のセッションキーを指定する例)
"update-policy { grant local-ddns zonesub any; };"
BIND をバージョンアップする際には、こちらの動作仕様変更の影響も考慮して十分に検証をして対応されることをお勧めいたします。
なお、JPCERT/CCでは、今回の動作仕様変更の確認と、変更前と同じ動作をさせるためのオプションについて検証いたしました。
検証環境
・CentOS 7
・named (9.9.11, 9.9.12)
検証内容および結果
1. named.conf に "update-policy local;" を設定し、ローカルホストから nsupdate を実行
9.9.11 アップデートに成功
9.9.12 アップデートに成功
2. named.conf に "update-policy local;" を設定し、セッションキーを用いてリモートから nsupdate を実行
9.9.11 アップデートに成功
9.9.12 アップデートに失敗
3. named.conf に "update-policy { grant local-ddns zonesub any; };" を設定し、セッションキーを用いてリモートから nsupdate を実行
9.9.12 アップデートに成功
今回の件について、提供いただける情報がありましたら、当グループまでご連絡ください。
早期警戒グループ
メールアドレス : ww-info@jpcert.or.jp
Topへ