IIJ-SECT

IIJ

 

Security Diary

HOME > Security Diary > CVE-2011-4313 BIND9 キャッシュサーバの脆弱性について (続報)

CVE-2011-4313 BIND9 キャッシュサーバの脆弱性について (続報)

先日公開されたBINDの脆弱性CVE-2011-4313についてISC社による更新がありました。 セキュリティアドバイザリの更新と共に補足情報として、影響範囲の確定、新しい回避策、 発生した現象の解説が記載されました。これらを踏まえて対策版へのアップデートが強く推奨されています。

前回の記事は以下です。
CVE-2011-4313 BIND9 キャッシュサーバの脆弱性について
更新されたセキュリティアドバイザリは以下です。
BIND 9 Resolver crashes after logging an error in query.c
新規に公開された補足情報は以下です。
CVE-2011-4313 FAQ and Supplemental Information

キャッシュサーバのみが対象となる点は以前と変更がありませんが、対象となるサーバへ 直接接続出来ない場合も影響の対象であると明記されました。 これはキャッシュサーバであれば、直接外部から接続できないプライベートネットワークに 置かれていても影響を受ける事になります。

新規に追加された回避策は以下の設定です。 この設定により、必要な場合のみAUTHORITYセクションとADDITIONALセクションを含む応答を返すようになります。

minimal-responses yes;

キャッシュサーバのみで動作している場合はこの設定により問題を回避可能としていますが、 キャッシュサーバとコンテンツサーバを兼ねている場合は、完全に防ぐことができず、 2つの機能を分離することも対策として示されています。

以下は回避策を適用したキャッシュサーバに対して、digコマンドでexample.comを問い合わせた結果です。 比較のために適用前の結果も合わせて記載します。

==== minimal-responses no; (デフォルト)
 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55295
 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
 ;; QUESTION SECTION:
 ;example.com.                   IN      SOA
 ;; ANSWER SECTION:
 example.com.            3600    IN      SOA     dns1.icann.org. ...
 ;; AUTHORITY SECTION:
 example.com.            3600    IN      NS      a.iana-servers.net.
 example.com.            3600    IN      NS      b.iana-servers.net.
 ;; ADDITIONAL SECTION:
 a.iana-servers.net.     1799    IN      AAAA    2001:500:8c::53
 b.iana-servers.net.     1799    IN      A       199.43.133.53

==== minimal-responses yes; (回避策適用済み)
 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64166
 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
 ;; QUESTION SECTION:
 ;example.com.                   IN      SOA
 ;; ANSWER SECTION:
 example.com.            3600    IN      SOA     dns1.icann.org. ...

一方、問い合わせたドメインが存在しない場合などは、これらのセクションが必要になりますので 設定に依存せず同様の結果となります。こちらはtest.example.comを問い合わせています。

==== minimal-responses no; (デフォルト)
 ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 3878
 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
 ;; QUESTION SECTION:
 ;test.example.com.              IN      SOA
 ;; AUTHORITY SECTION:
 example.com.            0       IN      SOA     dns1.icann.org. ...

==== minimal-responses yes; (回避策適用済み)
 ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 34169
 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
 ;; QUESTION SECTION:
 ;test.example.com.              IN      SOA
 ;; AUTHORITY SECTION:
 example.com.            0       IN      SOA     dns1.icann.org. ...

上記の通り設定により応答内容に変化があります。 RFC上は問題のない応答ですが、CVE-2011-4313 FAQ and Supplemental Informationにもあるように、 この動作に依存している実装が無いとは言い切れません。そのため、適用の際には事前の動作検証をお勧めします。

根本的修正を施した新バージョンのリリースはありませんでしたが、前回の原因不明な状態で のアップデートとは異なり、ISC社による原因究明が済んだ後でのアップデート推奨となります。 副作用などが無い事を確認したうえでの推奨と考えられるため、以前より安心してアップデート出来るのではないでしょうか。

-
 
カテゴリー :
脆弱性  
タグ :
Vulnerability   BIND  
この記事のURL :
https://sect.iij.ad.jp/d/2011/12/067936.html