JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は9月20日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#90728793: ISC BIND 9 の Update policy 機能の説明が実際の挙動と異なっている問題」において、BIND 9のマニュアルで生じている問題について伝えた。

誤った内容が記載されているプロダクトおよびバージョンは次のとおり。

  • BIND 9.11.4およびこれよりも前のバージョン
  • BIND 9.12.2およびこれよりも前のバージョン

ISC BIND では、Dynamic DNS (DDNS) による DNS レコードのアップデートを制御するために update-policy という機能が提供されている。クライアントから送られてくる DNS レコードのアップデートリクエストの処理を、リクエストで使用される鍵情報に基づいて制限するようなルールを設定することができる。設定できるルールの種類は複数用意されているが、実装された当初、これらのルールの挙動についてマニュアル (ARM, Administrator's Reference Manual) には記載されていなかった。

その後 change #3112 にて説明が追加されたが、 krb5-subdomain と ms-subdomain の2つのルールに関する説明が実際の挙動と異なっていた。これにより、ARM の説明では許可しないはずのアップデートリクエストを受け付けてしまう可能性があるという。

マニュアルが修正されたバージョンは2018年10月にリリースが予定されており、次のバージョンではマニュアルが修正される見通しとされている。

  • BIND 9.11.5 よりも前のバージョン
  • BIND 9.12.3 よりも前のバージョン
  • Security Advisories-CVE-2018-5741: Update policies krb5-subdomain and ms-subdomain

    Security Advisories-CVE-2018-5741: Update policies krb5-subdomain and ms-subdomain

対策としては、更新を許可する範囲を独立したゾーンとして設定することが紹介されている。例えば、example.com ゾーンの一部の更新を許可するため sub.example.com ゾーンを設定し、適切な update-policy の設定を行う。

また、設定ファイルの解析処理に関するバグ修正とともに、新たな種類のルール krb5-selfsubms-selfsub の提供が表明されている。開発者が提供する情報をもとに、最新版へアップデートするとともにゾーン設定の内容を適切に行うことが望まれる。