Internet Systems Consortium(ISC)は、DNSプロトコルを実装するソフトウェア「BIND」の緊急パッチをリリースした。このパッチは、リモートからのDoS(サービス拒否)攻撃を可能にする深刻な脆弱性に対処するものだ。
ISCの調査責任者Michael McNally氏はセキュリティアドバイザリ「CVE-2015-5477」のなかで、この深刻な脆弱性を突くことで、電子メールシステムやウェブサイトといったオンラインサービスを停止に追い込む悪質なパケットの送信が可能になると述べている。
「TKEYクエリの処理における誤りにより、named[DNSプログラムの名称]がREQUIRE表明違反で終了する」とされているこの脆弱性は、ウェブの実現に必須となっているDNSプロトコルの実装のうち、世界で最も普及しているオープンソースのソフトウェアであるBINDに影響を及ぼすものだ。
BINDは、1980年代の初頭にカリフォルニア大学バークレー校で開発された「Berkeley Internet Name Domain」というソフトウェアに端を発しており、その名称は同ソフトウェアの頭文字をつなげたもの。コンピュータシステムをDNS標準に準拠させ、ドメイン名を解決するための当たり前のような存在となったこのソフトウェアに、パッチ適用でしか解決できない問題が生じている。
インターネットの大部分に影響を与えるこの脆弱性は、同アドバイザリによると「共通脆弱性評価システム」(CVSS)で7.8という評価になっている。また同アドバイザリでは「攻撃者は、TKEY(トランザクションキーレコード)クエリの処理における誤りを悪用して欠陥を突き、REQUIRE表明違反の発生によってBINDを終了させるようなパケットを生成することで、DoS攻撃のベクタとして利用できる」と解説している。
さらに同アドバイザリでは、影響範囲について以下のように記している。
権威DNSサーバとキャッシュDNSサーバの双方がこの脆弱性の影響を受ける。さらに、この脆弱性を引き起こすコードはパケット処理の前段階の、境界条件を強制するチェックの前に存在しているため、ACLや設定オプションによるアクセス制限、あるいはサービスの拒否では防ぐことができない。
この脆弱性の影響を受けるBINDのバージョンは、BIND 9.1.0からBIND 9.9.7-P1まで、およびBIND 9.10.0からBIND 9.10.2-P2までとなっている。
DNSの運用事業者は早急にBIND 9のバージョン9.9.7-P2または9.10.2-P3にアップグレードすることが推奨されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
