JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は3月19日、「BIND の "update-policy local;" の動作仕様変更について」において、BINDについて、2018年3月14日に公開されたバージョンから、named.conf設定ファイルにおける「update-policy local;」の動作仕様が変更になったと伝えた。
対象となるバージョンは次の通り。
- BIND 9.12.1
- BIND 9.11.3
- BIND 9.10.7
- BIND 9.9.12
これまで "update-policy local;" の動作において、自動生成されたセッションキー (デフォルトで local-ddns という名前) を使用してアップデートリクエストに対する認証を行っており、IP アドレスベースのアクセス制限は設定されていない状態だった。この鍵はローカルに保持されており、ユーザーがサーバの外に持ち出さないという前提の下、ローカルからのアップデートリクエストのみを許可する意味になっていた。
今回、"update-policy local;" の動作はローカルな IP アドレスからの接続であることも確認するように変更された。
動作仕様の変更に関しては、Internet Systems Consortium (ISC)の公開している文書「Operational Notification: "update-policy local" was named misleadingly and could permit non-local DDNS updates」に詳しい説明がまとまっている。該当するバージョンから動作内容が変わることに伴い、変更前と同じ動作をさせたい場合は設定を変更する必要がある。
ISCでは推奨していないが、"update-policy local;" を用いて、サーバ外からのアップデートリクエストを受け付ける運用を行っている場合、上記のバージョンのBIND では、次のように設定することで動作仕様の変更前と同じ動作を行うことができるという。
"update-policy { grant local-ddns zonesub any; };"
-
Operational Notification: ”update-policy local” was named misleadingly and could permit non-local DDNS updates - ISC Knowledge Base
JPCERT/CCは該当するソフトウェアを利用しているユーザーに対し、今回のBINDの動作仕様変更の内容を確認するとともに、バージョンアップする際は仕様変更の影響を考慮して十分に検証を行って対応することを推奨している。
