ニュース
» 2014年05月09日 21時20分 UPDATE

修正版へのアップデートやプリフェッチ機能の無効化を推奨:BIND 9.10.0にDoSにつながる脆弱性、通常の問い合わせで発生する可能性も

「BIND 9.10.0」のプリフェッチ機能に、DoS攻撃につながる恐れのある脆弱(ぜいじゃく)性が存在する。問題を修正したセキュリティフィックスへのアップデートやプリフェッチ機能の無効化といった対策が推奨されている。

[高橋睦美,@IT]

 オープンソースのDNSサーバーソフトウェア「BIND 9.10.0」に、DoS攻撃につながる恐れのある脆弱(ぜいじゃく)性(CVE-2014-3214)があることが、米国時間の2014年5月8日に明らかにされた。開発元のInternet Systems Consortium(ISC)は、問題を修正した「BIND 9.10.0-P1」をリリースし、早期のアップデートを呼び掛けている。

 この脆弱性は、BIND 9.10で実装された「プリフェッチ(prefetch)」機能に存在する。プリフェッチ機能は、名前解決のパフォーマンス向上を目的に、キャッシュ済みのリソースレコードをキャッシュの満了前に自動的に再検索する、いわば先読みする機能だが、その実装に問題がある。BIND 9.10.0をキャッシュDNSサーバーとして利用している場合に、特定の属性を持つ応答を返すような問い合わせ処理を行うと、namedがクラッシュし、サービスが異常終了してしまう。

 日本レジストリサービス(JPRS)の情報によると、この脆弱性は、外部からの意図的なDoS攻撃につながる恐れがある他、通常の問い合わせ処理においても発生する可能性がある。現に、この脆弱性による障害事例が複数報告されているという。

 対策は、脆弱性を修正したBIND 9.10.0-P1にアップデートすることだ。もし速やかなアップデートが困難な場合は、設定ファイル(named.conf)においてprefetchオプションに「0」を設定し、プリフェッチ機能を無効にすることで、影響を回避できるという。なおBIND 9.10.0では、プリフェッチ機能はデフォルトで有効に設定されている。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。