編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

DNS実装の「BIND 9」にDoS攻撃を許す脆弱性--緊急パッチが公開

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2015-07-31 10:35

 Internet Systems Consortium(ISC)は、DNSプロトコルを実装するソフトウェア「BIND」の緊急パッチをリリースした。このパッチは、リモートからのDoS(サービス拒否)攻撃を可能にする深刻な脆弱性に対処するものだ。

 ISCの調査責任者Michael McNally氏はセキュリティアドバイザリCVE-2015-5477」のなかで、この深刻な脆弱性を突くことで、電子メールシステムやウェブサイトといったオンラインサービスを停止に追い込む悪質なパケットの送信が可能になると述べている。

 「TKEYクエリの処理における誤りにより、named[DNSプログラムの名称]がREQUIRE表明違反で終了する」とされているこの脆弱性は、ウェブの実現に必須となっているDNSプロトコルの実装のうち、世界で最も普及しているオープンソースのソフトウェアであるBINDに影響を及ぼすものだ。

 BINDは、1980年代の初頭にカリフォルニア大学バークレー校で開発された「Berkeley Internet Name Domain」というソフトウェアに端を発しており、その名称は同ソフトウェアの頭文字をつなげたもの。コンピュータシステムをDNS標準に準拠させ、ドメイン名を解決するための当たり前のような存在となったこのソフトウェアに、パッチ適用でしか解決できない問題が生じている。

 インターネットの大部分に影響を与えるこの脆弱性は、同アドバイザリによると「共通脆弱性評価システム」(CVSS)で7.8という評価になっている。また同アドバイザリでは「攻撃者は、TKEY(トランザクションキーレコード)クエリの処理における誤りを悪用して欠陥を突き、REQUIRE表明違反の発生によってBINDを終了させるようなパケットを生成することで、DoS攻撃のベクタとして利用できる」と解説している。

 さらに同アドバイザリでは、影響範囲について以下のように記している。

 権威DNSサーバとキャッシュDNSサーバの双方がこの脆弱性の影響を受ける。さらに、この脆弱性を引き起こすコードはパケット処理の前段階の、境界条件を強制するチェックの前に存在しているため、ACLや設定オプションによるアクセス制限、あるいはサービスの拒否では防ぐことができない。

 この脆弱性の影響を受けるBINDのバージョンは、BIND 9.1.0からBIND 9.9.7-P1まで、およびBIND 9.10.0からBIND 9.10.2-P2までとなっている。

 DNSの運用事業者は早急にBIND 9のバージョン9.9.7-P2または9.10.2-P3にアップグレードすることが推奨されている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]