The FreeBSD Project、the FreeBSD Security Officer and the Security Officer Teamは10日(協定世界時)、1件のFreeBSD Security Advisoryを報告した。BIND 9に関する脆弱性で、場合によってはいくつかのDoS攻撃を実施される可能性がある。脆弱性に該当している場合は一時的に問題を回避する方法はないため、機能を無効にするか、修正されたバージョンへのアップグレードを実施されたい。

FreeBSD-SA-07:02.bind

• トピック - named(8)における複数のDoS脆弱性
• カテゴリ - contrib
• モジュール - bind
• 公表日 - 2007-02-09
• 影響範囲 - FreeBSD 5.3およびこれ以降のすべてのバージョン
• 修正済み
  
  • 2007-02-07 00:42:09 UTC (RELENG_6, 6.2-STABLE)
  • 2007-02-09 20:24:15 UTC (RELENG_6_2, 6.2-RELEASE-p1)
  • 2007-02-09 20:23:29 UTC (RELENG_6_1, 6.1-RELEASE-p13)
  • 2007-02-07 00:46:35 UTC (RELENG_5, 5.5-STABLE)
  • 2007-02-09 20:22:44 UTC (RELENG_5_5, 5.5-RELEASE-p11)
• CVE-2007-0493, CVE-2007-0494

DNSの実装であるBIND 9にはDNSSEC(DNS Security Extensions)と呼ばれるDNSプロトコルに認証とインテグリティを追加するためのオプションが用意されているが、今回この機能とリカーシブクエリに関してDoS脆弱性があることがわかった。

BIND 9において、複数のRRsetsを含んだ* (ANY)クエリレスポンスを応用されるとアサーション失敗が引き起こされる可能性がある。また、特定のリカーシブクエリによってすでに解放されたメモリ領域を使ってネームサーバをクラッシュさせることができる可能性がある。このためアタッカーはDNSSECサインドゾーンに対する認証機能を有効にしたDNSサーバに対して* (ANY)クエリを送信することでnamed(8)デーモンを終了させることができ、またリカーシブクエリを送信することでネームサーバをクラッシュさせるというDoS攻撃を実施できる。

DNSSECに関する脆弱性は、DNSSECサインドゾーンに対して認証サーバとして機能させている場合にだけ影響を受け、また、リカージブクエリに関する脆弱性については、認証されていないユーザに対してリカージブDNS名前解決を提供している場合に影響を受ける。FreeBSDに標準でインストールされているnamed(8)はローカルアクセスのみ許可しており、基本的に不特定多数からのアクセスは実行されないようになっている。

この問題を一時的に回避する方法はないため、問題を解決するには修正済みのセキュリティブランチにシステムをアップデートするか、パッチを適用してbindモジュールをアップデートしてnamed(8)サービスを再起動すればよい。公開DNSサーバを運用している場合、上記条件にあてはまることがあるため、該当している場合には迅速に対応を実施されたい。

2月2日(米国時間)にThe FreeBSD Security Officerから報告があったように、すでに4系のセキュリティサポートは終了している。今回のSecurity Advisoryは4系には関係ないが、今後4系はサポートされないため早い時期に6系へのアップグレードを実施されたい。