CVE-2011-4313 BIND9 キャッシュサーバの脆弱性について (続報)

先日公開された BIND の脆弱性 CVE-2011-4313 について ISC 社による更新がありました。セキュリティアドバイザリの更新と共に補足情報として、影響範囲の確定、新しい回避策、発生した現象の解説が記載されました。これらを踏まえて対策版へのアップデートが強く推奨されています。

前回の記事は以下です。
CVE-2011-4313 BIND9 キャッシュサーバの脆弱性について

更新されたセキュリティアドバイザリは以下です。
BIND 9 Resolver crashes after logging an error in query.c

新規に公開された補足情報は以下です。
CVE-2011-4313 FAQ and Supplemental Information

キャッシュサーバのみが対象となる点は以前と変更がありませんが、対象となるサーバへ直接接続出来ない場合も影響の対象であると明記されました。これはキャッシュサーバであれば、直接外部から接続できないプライベートネットワークに置かれていても影響を受ける事になります。

新規に追加された回避策は以下の設定です。この設定により、必要な場合のみ AUTHORITY セクションと ADDITIONAL セクションを含む応答を返すようになります。

> minimal-responses yes;Code language: plaintext (plaintext)

キャッシュサーバのみで動作している場合はこの設定により問題を回避可能としていますが、キャッシュサーバとコンテンツサーバを兼ねている場合は、完全に防ぐことができず、2つの機能を分離することも対策として示されています。

以下は回避策を適用したキャッシュサーバに対して、dig コマンドで example.com を問い合わせた結果です。比較のために適用前の結果も合わせて記載します。

==== minimal-responses no; (デフォルト)
 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55295
 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
 ;; QUESTION SECTION:
 ;example.com.                   IN      SOA
 ;; ANSWER SECTION:
 example.com.            3600    IN      SOA     dns1.icann.org. ...
 ;; AUTHORITY SECTION:
 example.com.            3600    IN      NS      a.iana-servers.net.
 example.com.            3600    IN      NS      b.iana-servers.net.
 ;; ADDITIONAL SECTION:
 a.iana-servers.net.     1799    IN      AAAA    2001:500:8c::53
 b.iana-servers.net.     1799    IN      A       199.43.133.53

==== minimal-responses yes; (回避策適用済み)
 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64166
 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
 ;; QUESTION SECTION:
 ;example.com.                   IN      SOA
 ;; ANSWER SECTION:
 example.com.            3600    IN      SOA     dns1.icann.org. ...Code language: plaintext (plaintext)

一方、問い合わせたドメインが存在しない場合などは、これらのセクションが必要になりますので設定に依存せず同様の結果となります。こちらは test.example.com を問い合わせています。

==== minimal-responses no; (デフォルト)
 ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 3878
 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
 ;; QUESTION SECTION:
 ;test.example.com.              IN      SOA
 ;; AUTHORITY SECTION:
 example.com.            0       IN      SOA     dns1.icann.org. ...

==== minimal-responses yes; (回避策適用済み)
 ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 34169
 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
 ;; QUESTION SECTION:
 ;test.example.com.              IN      SOA
 ;; AUTHORITY SECTION:
 example.com.            0       IN      SOA     dns1.icann.org. ...Code language: plaintext (plaintext)

上記の通り設定により応答内容に変化があります。RFC 上は問題のない応答ですが、CVE-2011-4313 FAQ and Supplemental Information にもあるように、この動作に依存している実装が無いとは言い切れません。そのため、適用の際には事前の動作検証をお勧めします。

根本的修正を施した新バージョンのリリースはありませんでしたが、前回の原因不明な状態でのアップデートとは異なり、ISC 社による原因究明が済んだ後でのアップデート推奨となります。副作用などが無い事を確認したうえでの推奨と考えられるため、以前より安心してアップデート出来るのではないでしょうか。