cles::blog

DNS サーバとしてよく使われている ISC BIND 9 の 脆弱性に対する注意喚起を JPCERT/CC が出していたのでメモ。

ISC BIND 9 に対する複数の脆弱性に関する注意喚起

ISC BIND 9 には、複数の脆弱性があります。脆弱性を悪用された場合、リモートからの攻撃によって named が終了する可能性があります。なお、ISC は、脆弱性 CVE-2017-3137 に対する深刻度を、「高 (High)」、脆弱性 CVE-2017-3136 及び CVE-2017-3138 に対する深刻度を、「中 (Medium)」、と評価しています。

問題になっているのは CVE-2017-3136、CVE-2017-3137, CVE-2017-3138 の３つ。
それぞれのオリジナルのセキュリティアドバイザリと、JPRS が出している日本語の解説は下記のとおり。

• CVE-2017-3136
  • BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2017-3136）
  • CVE-2017-3136: An error handling synthesized records could cause an assertion failure when using DNS64 with "break-dnssec yes;" | Internet Systems Consortium Knowledge Base
• CVE-2017-3137
  • （緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2017-3137）
  • CVE-2017-3137: A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME | Internet Systems Consortium Knowledge Base
• CVE-2017-3138
  • BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2017-3138）
  • CVE-2017-3138: named exits with a REQUIRE assertion failure if it receives a null command string on its control channel | Internet Systems Consortium Knowledge Base

BIND を使った DNS サーバを立てている場合には速やかに対策済みのバージョンにアップデートしておきましょう。

BIND 9.0.0 以降のすべてのバージョンの BIND 9 に影響する DoS 攻撃を受ける脆弱性（CVE-2016-2776）が見つかったようです。
JPCERT/CC や JPRS から以下の注意喚起が出ています。

• ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2016-2776) に関する注意喚起
• （緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2016-2776）

BIND の開発元の ISC によるアドバイザリはこちら。

• CVE-2016-2776: Assertion Failure in buffer.c While Building Responses to a Specifically Constructed Request | Internet Systems Consortium Knowledge Base

RHEL については RHEL4～RHEL7 の bind （もしくは bind97）パッケージに影響がある（Affected）ようですが、RHEL4 はサポート終了のため対応しない（Will not fix）となっているので注意が必要です^*1。

• ^*1: CVE-2016-2776 - Red Hat Customer Portal

JPRS から BIND が DoS 攻撃を受ける脆弱性について注意喚起^*1を出しています。

対象となるバージョンはBIND 9.7.0以降のすべてのバージョンのBIND 9ですが、サポートが終了している 9.7に関してはパッチはリリースされていないことに注意が必要です。今回の脆弱性が面倒なのは、注意喚起文書の影響範囲に記載されているとおり、namedの設定ファイル（named.conf）によるアクセスコントロール（ACL） の設定では、影響を回避・軽減できません。よって、選択肢は速やかにパッチ済みのバージョンにアップグレードするしかありません。

今回の脆弱性は CVE - CVE-2013-4854^*2 に起因するのようですが、RHEL のデータベースで CVE-2013-4854 について調べてみると RHEL5 の bind パッケージや RHEL5, RHEL6 bind97 パッケージについては影響を受けないと記載されているので、RHEL5 で bind パッケージを使っている人は一安心ということでしょうか。

access.redhat.com | CVE-2013-4854

This issue did not affect the versions of bind as shipped with Red Hat Enterprise Linux 5. It does affect the versions of bind97 as shipped with Red Hat Enterprise Linux 5 and the versions of bind as shipped with Red Hat Enterprise Linux 6.

† 2013/07/29 追記

すいません。英語を読み間違えていたようです。
影響をうけないは RHEL5の bind だけで, RHEL5 の bind97 や RHEL6 の bind は does affect なので影響を受けるようですね。

† 2013/07/30 追記

RedHat から RHEL5 (bind97) と RHEL6 (bind) 向けのエラータ（RHSA-2013:1115, RHSA-2013:1114）が出ました。

† 2013/07/31 追記

CentOS5 で bind97 32:9.7.0-17.P2.el5_9.2 が配信されていることを確認できました。

• ^*1: （緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（2013年7月27日公開）
• ^*2: CVE-2013-4854 [JP]: 特別に細工されたクエリによってBINDが異常終了する | Internet Systems Consortium Knowledge Base

DNS サーバーを運用している場合にそれがオープンリゾルバになっていないかどうかについて JPCERT/CC から注意注意喚起が出ています。

DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起

運用管理対象のキャッシュサーバにおいて再帰的な問い合わせを受け付ける 範囲を確認し、必要最小限になるようアクセス制限を施してください。また、この機会に DNS サーバの設定を確認し、意図した動作をしているか見直すことをお勧めします。

さっそく JPRS の資料^*1に従って、 BIND の設定を確認してみました。この資料に出てくる Test for Open Resolvers というサービスに IP アドレスを打ち込むと自分のサーバーがオープンリゾルバかそうでないかすぐに分かります。画像のように closed の表示が出れば設定は問題ありません。

こういう問題が起きる前から、再帰的クエリは第三者から受け付けるようにしてはいけないと言われていたような気がするんですよね。出所が思い出せませんが、確かバッタ本に書いてあったような気がします。また、以前に DNS のチェックサイトを紹介したときにも、このような再帰クエリを第三者に許可していないかどうかはチェック対象になっていて、そのサービスのチェック結果が "Good. Your nameservers (the ones reported by the parent server) do not report that they allow recursive queries for anyone." となっていたのでした。

† 参考

• 技術解説：「DNS Reflector Attacks（DNSリフレクター攻撃）」について

• ^*1: 設定ガイド：オープンリゾルバー機能を停止するには【BIND編】

BIND 9.x に欠陥が見つかったのでアップデートが推奨されています。

（緊急）BIND 9.xの致命的な脆弱性（過度のメモリ消費）について（2013年3月27日公開）

BIND 9.xにおける実装上の問題により、namedに対する外部からの攻撃が可 能となる脆弱性が、開発元のISCから発表されました。本脆弱性により namedが過度のメモリ消費を引き起こし、その結果としてnamedを含む当該サー バーで動作しているプログラム及びシステムに、サービスの異常動作や停止 につながる致命的な影響が発生する可能性があります。 本脆弱性は影響が大きく、かつキャッシュDNSサーバー及び権威DNSサーバー の双方が対象となることから、該当するBIND 9.xを利用しているユーザーは 関連情報の収集及び即時の対応を取ることを強く推奨します。

RHEL については RHEL6(bind) 及び RHEL5（bind97^*1）向けの Security Errata^*2 が出ているので、アップデートするとそれぞれ bind-9.8.2-0.17.rc1.el6_4.4 と bind97-9.7.0-17.P2.el5_9.1 に更新されるようです。既に CentOS 5.x でもアップデートが提供されていて、上記のバージョンにアップデートされることを確認しました。

† 参考

• CVE-2013-2266 [JP]: 不正に細工された正規表現によってnamedがメモリ不足になる | Internet Systems Consortium Knowledge Base
• ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2013-2266) に関する注意喚起
• CVE - CVE-2013-2266

• ^*1: RHEL5系で bind97 を入れる方法
• ^*2: access.redhat.com | CVE-2013-2266

先月の件に引き続き、BIND 9 に脆弱性 (CVE-2012-5166) が見つかったためアップデートが推奨されています。
週末にでもアップデートしておこうと思いますが、最近 BIND はセキュリティアップデートが多いような気がしますね。

（緊急）BIND 9.xの脆弱性（サービス停止）について（2012年10月10日公開）

BIND 9.xではリソースレコード（RR）の取り扱いに不具合があり、特定のRDATAの組み合わせが読み込まれた場合、以降の関連するRRの問い合わせにより、namedがロックアップする（無応答になる）障害が発生します。
本脆弱性によりロックアップしたnamedは、強制終了／再起動以外の方法では元の状態に回復しません。また、本脆弱性を利用した攻撃はリモートから可能であり、かつ、キャッシュDNSサーバー／権威DNSサーバーの双方が対象となります。

† 参考

　　・ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2012-5166) に関する注意喚起
　　・CVE-2012-5166 [JP]: 特別に細工されたDNSのデータによるnamedのハングアップ | Internet Systems Consortium Knowledge Base

JPCERT/CC が BIND 9 の脆弱性について注意喚起を行っていたので、 サーバの BIND をアップデートしました。
それにしても BIND の脆弱性はなかなか無くならないものですね。

ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2012-4244) に関する注意喚起

ISC BIND 9 には、サービス運用妨害 (DoS) の原因となる脆弱性があります。BIND が RDATA フィールドの長さ 65,535 バイトを超えるレコードを読み込んだ後、このレコードに対する問い合わせが行なわれると、BIND が停止する可能性があります。
ISC 社の情報によると、本脆弱性に対する攻撃は確認されていませんが、すべての ISC BIND 9 を使用した DNS サーバ (権威 DNS サーバ、キャッシュDNS サーバ) が対象となること、攻撃手法が比較的容易であることから、「III. 対策」を参考に、修正済みのバージョンの適用について検討してください。

† 参考

　　・CVE - CVE-2012-4244 (under review)
　　・CVE-2012-4244: A specially crafted Resource Record could cause named to terminate | Internet Systems Consortium Knowledge Base
　　・（緊急）BIND 9.xの脆弱性（サービス停止）について

BINDにBIND Dynamic Update DoSという脆弱性が見つかり、各所ででアップデートラッシュが起きているようです。昔はBINDは大穴がしょっちゅう見つかっていた記憶がありますが、まだこういうのがあるんですね。だからといってdjbdnsに移ろうとは思いませんが。

(緊急)BIND 9のDynamic Update機能の脆弱性を利用したDoS攻撃について

本脆弱性は、named.confにおいてプライマリサーバ(master)の設定をしている場合に該当します。また、Dynamic Update機能を有効に設定していない場合であっても本脆弱性の対象となりますので、注意が必要です。

また、該当するnamedがDNSキャッシュサーバとして運用されている場合でもいわゆるローカルゾーン、例えば0.0.127.in-addr.arpaやlocalhost等に対しプライマリサーバとして設定されている場合には本脆弱性の対象となりますので、十分にご注意ください。

上記のJPRSのリリースによると、自前のゾーンを持っていれDynamic Updateを使っていなくても脆弱性の影響を受けるというのはたちが悪いですね。公開されているDNSを管理している場合には要チェックです。

ISCによるBIND10開発プロジェクトがスタートし、そこにJPRSが参加するようです。

JPRSが「BIND 10」の開発プロジェクトに参画‐次期DNSソフトウェアの共同開発により、インターネットのさらなる安定運用に貢献‐日本レジストリサービス(JPRS)会社案内

「BIND」は、ISCにより開発されている、インターネットにおいて最も多く利用されているDNSサーバソフトウェアです。DNSは、インターネットを支える基本機能の一つとして、インターネットの円滑な運用になくてはならないものですが、現行の「BIND 9」は2000年9月に公開され、今年で公開後10年目を迎えます。

その間、インターネットの飛躍的な普及とともに、DNSサーバをターゲットにしたDDoS攻撃への強い耐性など、DNSに対する要求事項は日増しに高まってきています。また、IP AnycastやDNSSECといった、新しい技術の普及に伴い、それらをより円滑に運用することが可能な、新しいDNSソフトウェアが必要になってきました。このような状況を受け、ISCでは、「安全性」「耐久性」などに優れた次世代の「BIND 10」の開発を開始することを表明しました。

自分がDNSサーバを運用しだしたのは2000年頃の話で、バッタ本を一生懸命読んで設定していました。その頃はもうBINDといえばBIND9がメインになっていて、穴だらけのBIND4とかBIND8はオンボロサーバーに入っているDNSという感じでしたが、その状況が今日まで続いてきたというのはある意味驚きかもしれません。

SMTPと同じようにDNSもある意味ベースとなっているプロトコル的な限界に来ていると思うので、そのあたりがどういう風に改良されていくのかというにはちょっと興味があります。

DNSといえば避けて通れない通称バッタ本「Book:DNS & BIND 第5版」の第5版が発売になるようなのでメモ。第4版持っているので買い換えなくていいとは思いますが。。。。。

ネットワーク管理者必携の定番書籍『DNS & BIND』の改訂版。第5版の本書では、BIND 8.4.7だけでなくBIND 9シリーズの最新版BIND 9.5.0-P1にも対応しました。BIND 9.3.2以降ではセキュリティ面とIPv6対応が強化されたほか、国際化ドメイン名、ENUM（electronic numbering）、SPF（Sender Policy Framework）といった新しい機能が追加されました。日々の仕事でDNSに触れることが多い管理者にも、インターネットについてもっと詳しくなってその仕組み理解したいと思っているエンドユーザにもお勧めです