日本レジストリサービス(JPRS)は2011年2月23日、DNSサーバーソフト「BIND 9.7.1」から「同 9.7.2-P3」までのバージョンに、DoS(Denial of Service)攻撃を受ける危険があるぜい弱性が見つかったと警告した。

 具体的には、ゾーン情報の更新に「IXFR(差分ゾーン転送)」または「Dynamic Update(動的更新)」を利用している権威DNSサーバーで問題が起こる。IXFRはDNSサーバー間でゾーン情報を転送する際に、変更部分だけを転送する機能。プライマリ/セカンダリのDNSサーバー間で、ゾーン情報を同期する際などに利用する。Dynamic Updateは、管理者がクライアント側から権威DNSサーバーの管理するゾーン情報を追加/削除するための機能だ。

 JPRSやUS-CERTの情報によれば、IXFRやDynamic Updateを実施中にDNS問い合わせを受信すると、まれにnamed(DNSサーバーの実体となる常駐プロセス)の処理が停止してしまうケースがあるという。多数のDNSリクエストを受け付けたり、頻繁にゾーン情報を更新したりする権威DNSサーバーでは、この問題が発生する可能性が高まる。

 BIND 9の開発元であるISC(Internet Systems Consortium)は、このぜい弱性の深刻度を「高」と評価し、すでに問題を修正したバージョンを公開している。JPRSでは、BIND 9.7.3以降へのバージョンアップを呼び掛けている。そのほか、一時的な回避策としてはマルチスレッド機能を無効にした状態でBINDをビルドしなおすか、起動時に「-n 1」オプションを指定し、スレッド数を1個に設定するという方法もある。ただし、マルチスレッド機能を無効にすると、DNSサーバーの性能が低下する。

[発表資料へ]