JPRSがパッチ適用を強く推奨
DNS管理者は要注意!BIND9にDoS攻撃の脆弱性
2009年07月30日 06時00分更新
国内のドメイン名の管理を行なう日本レジストリサービス(JPRS)は7月29日、デファクトスタンダードのDNSサーバ「BIND9」の全バージョンにDoS(サービス停止)状態に陥る危険度の高い脆弱性が発見されたため、早急にパッチを適用するよう警告を出した。
この脆弱性は、Active Directoryのドメインに参加しているPCが動的にホスト名を登録するためなどに利用する「ダイナミックアップデート(RFC 2136)」機能の実装に不具合があったことによるもの。特定のダイナミックアップデートパケットを作成し、送信することでBINDをリモートから停止させることが可能となるという。
この脆弱性が利用されるのは、BINDの設定ファイル「named.conf」において、「プライマリサーバ」となる設定をしている場合。セカンダリサーバであれば対象とならない。一方、クライアントからの要望に応じて別のDNSサーバに名前解決の問い合わせを行なう「キャッシュサーバ」であっても、ローカルゾーンに対してプライマリサーバの設定が行なわれていると脆弱性の対象となってしまう。また、プライマリサーバと設定されていれば、ダイナミックアップデート機能を無効にしていても脆弱性の対象となるので注意が必要だ。
BINDの開発元であるISCやBINDをバンドルするLinuxディストリビューションベンダーなどが、対策パッチを提供中。JPRSでは、「ISCおよび各ディストリビューションベンダーからリリースされたパッチを、速やかに適用してください」としている。
