キャッシュDNSサーバ「BIND 9.x」にDoSの脆弱性(JPRS、JVN)
JPRSは、「BIND 9.xの脆弱性(システムリソースの過度な消費)について(CVE-2019-6477) - フルリゾルバ(キャッシュDNSサーバ)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨」とする緊急情報を発表した。
脆弱性と脅威
セキュリティホール・脆弱性
これは、開発元であるISCから脆弱性情報が発表されたもの。BIND 9.11.0以降では、RFC 7766で推奨事項とされた、ひとつのTCP接続で複数のDNSトランザクションの並列処理を可能にするQuery Pipeliningが、TCP-pipeliningとしてサポートされている。しかし、BIND 9.xでは2019年4月に公開された脆弱性CVE-2018-5743への対応により、TCPでの同時接続数を計算する方法を変更。この変更の影響により、TCP-pipeliningを用いた複数のDNSトランザクションの並列処理において、TCPでの同時接続数の制限がバイパスされてしまう。対象となるバージョンは次の通り。
・9.14系列:9.14.1~9.14.7
・9.12系列:9.12.4-P1~9.12.4-P2
・9.11系列:9.11.6-P1~9.11.12
これらのバージョンでは、ひとつのTCP接続から複数のDNSクエリが並列で送られた場合に、サービスの一時停止や品質低下などを発生させることが可能となる。ISCでは本脆弱性の深刻度(Severity)を「中(Medium)」と評価している。JPRSでは、脆弱性を修正したパッチバージョン(BIND 9.14.8/9.11.13)への更新、あるいは、各ディストリビューションベンダからリリースされる更新の適用を、速やかに実施するよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》