「BIND 9.8.x/9.9.x」にDoSの脆弱性、ただし深刻度は「低」（JPRS）

JPRSは、「BIND 9.8.x/9.9.xにおけるDNS64の実装上のバグによるnamedのサービス停止について」を発表した。ISCでは本脆弱性（CVE-2012-5689）の深刻度を「低」と評価している。

脆弱性と脅威セキュリティホール・脆弱性

2013.1.25 Fri 14:44

株式会社日本レジストリサービス（JPRS）は1月25日、「BIND 9.8.x/9.9.xにおけるDNS64の実装上のバグによるnamedのサービス停止について」を発表した。これは、BIND 9.8.x/9.9.xにおけるDNS64/RPZの実装上のバグにより、namedに対する外部からのサービス不能（DoS）攻撃が可能となる脆弱性が、開発元のISCから発表されたというもの。ISCでは、本脆弱性の深刻度（Severity）を「低（Low）」と評価している。その理由として、「本脆弱性はDNS64とRPZの双方を有効に設定している場合にのみ対象となり、該当するシステムは極めて少ないと考えられること」「本脆弱性にはシンプルかつ完全な回避策が存在すること」の2点を挙げている。

「9.8系列：9.8.0～9.8.4-P1」「9.9系列: 9.9.0～9.9.2-P1」には、実装上のバグにより、DNS64とRPZの双方を有効に設定し、かつRPZによる書き換えとDNS64によるマッピングが特定の条件で競合した場合に、namedが異常終了を起こす障害が発生する（CVE-2012-5689）。ただし、デフォルトではDNS64/RPZはともにデフォルトでは無効に設定されている。JPRSでは、RPZにAレコードの書き換えルールが存在する場合、対象の名前に対するAAAAレコードの書き換えルールを併せて記述することにより、本脆弱性の影響を回避できるとしている。なお、DNS64とRPZの双方を有効に設定していない場合、またはRPZにおいて当該の書き換えルールが存在しない場合、回避策は不要としている。

《吉澤亨史（ Kouji Yoshizawa ）》