ソフトウェアには問題が付き物である。中にはそのままに捨て置かれるものもあるが,多くの場合,ベンダーにより修正される。システム管理者はその責務として,できる限り関連する情報を入手し,例えばパッチを適用するなどして,問題を修正しなければならない。

 筆者の持論では,「パッチの適用」や「セキュリティ上必要なアップデート」は習慣にすべきであると考えている。人間は習慣の動物であり,一度習慣化された物事に対しては,なかなかそこから離れない。逆に,習慣にない作業に対しては,なるべく避けて通りがちである。習慣になっていないために,パッチの適用をおろそかにしている事例を時たま見かける。読者の中で,システム管理者であるにもかかわらず,パッチを適用するという“よい習慣”を身に付けていない方がいるならば,ぜひ,身に付けてほしいと願う次第である。

 さて,前置きが長くなった。本題に入ろう。11月13日に公開されたCERTアドバイザリは,もう一読しただろうか。CERTアドバイザリは,筆者の所属する組織から邦訳版が公開されている。今回のアドバイザリは,著名なDNSサーバー・アプリケーション「BIND」で発見されたぜい弱性について触れている。

 CERTアドバイザリでは,「zxfr bug」,「srv bug」の2点の問題を指摘しているが,BINDの開発元であるISC(Internet Software Consortium)が提供しているアドバイザリは,さらに7点の問題を指摘している。

 また,CERTアドバイザリには,バージョン8.2.2-P6以前が影響を受けると記述されているが,ISCのアドバイザリには,BIND 4.x.x系列を利用している場合にも影響を受けると明記されている。もし,現在でもBIND 4.x.x系列を使った上で,DNSサーバーを運用している場合には,今回を機に8.2.2-P7,あるいはそれ以降のバージョンへ更新しよう。

 CERTアドバイザリで指摘されているぜい弱性のうち,より広範囲の組織で影響が生じる可能性があるぜい弱性は「zxfr bug」問題だろう。この問題は,BIND 8.2.2-P5までの Compressed Zone Transfer(ZXFR)の実装に由来する。以下の条件が満たされた場合に,このぜい弱性を突いた攻撃は可能である。

  • ZXFR(Compressed Zone Transfer)へのクエリが与えられた
  • 再帰的なクエリが許可されている
  • クエリ結果が,ネーム・サーバーのキャッシュから得られない

 これらの条件が重なった場合に,BINDのnamedがクラッシュし,DNSのサービスは停止してしまう。

 今回指摘されたぜい弱性に対する対策は,BINDの最新版,あるいは対策版へバージョン・アップすることである。最新版は9.0.1,対策版は8.2.2-P7である。コンパイル済みのBINDが提供されている環境では,コンパイル済みのBIND 8.2.2-P7以降へ更新しよう。ベンダーなどから最新版の提供があるはずだ。システム管理者自身がBINDを導入している場合や,まだコンパイル済みのバイナリが提供されていない場合には,ソースから実行バイナリを作成し,更新しよう。

 また,BIND以外のDNSサーバーの実装である「djbdns」への移行も検討に値するだろう。11月17日現在,djbdnsは今回のアドバイザリで指摘されたぜい弱性を持たない。

 なお,Windows 2000/NT 4.0上で動作するBIND 8.2.2-P5については,筆者が再現試験を行った時点では,UNIX上で動作するBINDと同様に,ぜい弱性が確認された。BIND 8.2.2-P7については,Windows 2000/NT 4.0版のバイナリがまもなく公開されるだろうが,それまでの間,ソースをコンパイルできる環境を持っている場合には,新しい実行バイナリを作成し,アップデートすることを勧めたい。

 コンパイル可能な環境を持っていない場合には,ISCのアドバイザリにあるように,信頼していないホストからのゾーン転送を受け付けないように,アクセス・コントロールを行う対策もある。しかしながら,筆者はこれを推奨しない。問題解決のためにはアップデートが必要であると考える。

 Windows 2000/NT 4.0で動作する,Microsoft製のDNSサーバーについても,同様の問題はないのかと心配するユーザーはいるだろうが,CERTアドバイザリによると,現在Microsoftにより調査中との事である。今後,この問題についての,同社が公開するセキュリティ情報に期待したい。

[CERT Advisory CA-2000-20「Multiple Denial-of-Service Problems in ISC BIND」]

[ラックによる「CERT Advisory(邦訳版)」]

[BIND Vulnerabilities(ISC)]

[DNSツール「djbdns」]

[「BIND for Windows 2000」(BIND 8.2.2-P5)]

坂井順行 (SAKAI Yoriyuki)
株式会社ラック 不正アクセス対策事業本部
sakai@lac.co.jp

 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。