水曜日, 2月 23, 2011

【重要】ISC Bind 9のIXFRリクエアストハンドルのDoS (CVE-2011-0414)

本件セキュリティ問題は下記のサーバ製品に影響があります↓
ISC BIND 9.7.1 or 9.7.2

問題の説明↓
簡単に言うと:ある条件のリクエアストで、Bindサーバが、①IXFRトランスファー又は②ダイナミックアップデートのプロセス実行最中でDoS状態が起きる可能性が高いです。細かい問題原因の説明の為に英語で行きます⇒「When an authoritative server processes a successful IXFR transfer or a dynamic update, there is a small window of time during which the IXFR/update coupled with a query may cause a deadlock to occur」。原因はバグです。もしリモート側のアタッカーがこのバグ情報が分かったら影響されたBINDサーバにリモートからDoS攻撃を起す事が出来ます。

追加SEC情報↓
CVE: CVE-2011-0414
CERT: VU#559980
Posting date: 22 Feb 2011
Program Impacted: BIND
Versions affected: 9.7.1-9.7.2-P3 (Bind 9.8に影響無し)
Severity: High
Remote: Yes
Local: No

解決方法↓
BIND 9.7.1や9.7.2のユーザがBIND 9.7.3.(2011年2月15日にリリースした)にアップグレードが必要です。
備考:
BIND 9.7 より前のバージョンは本脆弱性の影響を受けないため、現在もサポートされている BIND 9.6.x, 9.6-ESV-Rx および 9.4-ESV-R4 はアップデートする必要はありません。
なお、BIND 9.5 はサポート終了となっています。
また、BIND 9.8 は本脆弱性の影響を受けないとのことです。

ワークアラウンド↓
アップグレードが直ぐに出来ない管理者には下記のワークアラウンドがあります。
「-n 1」の設定を入れたら本件の問題は9.7.2に再現が出来ませんので、攻撃が来たらDoS状態になる可能性が低いです。暫くアップグレードが出来る時間迄に、1コアCPUのサーバでは、この設定がお勧めワークアラウンドです。

リファレンス↓

---
ゼロデイ・ジャパン
http://0day.jp
重要なUNIXサービスアドバイサリー

0 件のコメント:

コメントを投稿