日本レジストリサービス(JPRS)は2010年7月16日、DNSサーバーソフト「BIND 9.7.1」「同 9.7.1-P1」にDNSSECで利用する「RRSIGレコード」に関連するぜい弱性が見つかったと警告した。DNSSECを有効にした権威DNSサーバーが、ネットワーク越しにDoS(Denial of Service)攻撃を受ける危険性があるという。
BIND 9.7.1/9.7.1-P1で、namedをキャッシュDNSサーバーとして動作させ、かつDNSSECの公開鍵(トラストアンカー)を設定して検証機能を有効にした場合に問題が起こる。namedはDNSサーバーの実体となるプロセスを指す。このDNSキャッシュサーバーに対して、攻撃者がDNSSECが有効に設定された任意のドメイン名に対するRRSIGレコードの検索要求を送る。すると、キャッシュDNSサーバーのnamedの実装の不具合によって反復検索がループ状態に陥り、該当するRRSIGレコードを保持する権威DNSサーバーに対して、RRSIGレコードの検索要求が発信され続ける。
RRSIGレコードは、その他のリソースレコードの署名情報を格納するためのレコード。そのため、普通はRRSIGレコードが単体で検索されることはない。だが仕様上はDNSキャッシュサーバーなどに対して、単独でRRSIGレコードを検索することができるという。
BINDの開発元のISC(Internet Systems Consortiumi)は、すでにこのぜい弱性を修正したBIND 9.7.1-P2を公開している。JPRSでは、キャッシュDNSサーバーに公開鍵を設定してDNSSECを有効にする前に、BINDのバージョンアップを実施するよう呼びかけている。
◎関連情報
◆(緊急)BIND 9.7.1/9.7.1-P1におけるRRSIGレコード処理の不具合について(JPRS)
