今週、JPCERT から届くセキュリティー関係のメールは、自分に関係あるものばかり。
おかげでバタバタしています。
今回のものは、以下の通り。
<<< JPCERT/CC Alert 2017-02-09 >>>
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2017-3135) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170007.html
I. 概要
ISC BIND 9 には、サービス運用妨害 (DoS) の原因となる脆弱性があります。
脆弱性を悪用された場合、リモートからの攻撃によって named が終了する可
能性があります。脆弱性の詳細については、ISC 社の情報を確認してください。
Internet Systems Consortium, Inc. (ISC)
CVE-2017-3135: Combination of DNS64 and RPZ Can Lead to Crash
https://kb.isc.org/article/AA-01453/
ISC 社によると、DNS64 と RPZ の双方を有効に設定している場合にのみ、
本脆弱性の影響を受けるとのことです(デフォルトではいずれも無効)。影響
を受ける条件に該当するサーバを運用している場合は、「III. 対策」や
「IV. 回避策」を参考に、修正済みバージョンの適用について検討してください。
私は、BIND9.10系と9.11系がインストールされた FreeBSD サーバーを運用しているので、こまかい内容は確認せずに、以下の通り pkg コマンドを発行してみたところ、「おお、アップデートが来てるよ〜。」となりました。
ソースコードからビルドするための ports のアップデートを深夜自動で実行しているのですが、そちらの方は更新無し。つまり、昨晩時点のソースで portupgrade を掛けると BIND は更新されないってことです。通常は、ソースが先、バイナリーが後になるので、バイナリー更新の方が先に来ていることが、相当深刻なの?と、ちょっとびっくりでした。
# pkg upgrade Updating FreeBSD repository catalogue... Fetching meta.txz: 100% 944 B 0.9kB/s 00:01 Fetching packagesite.txz: 100% 6 MiB 589.0kB/s 00:10 Processing entries: 100% FreeBSD repository update completed. 25853 packages processed. 中略 The following 1 package(s) will be affected (of 0 checked): Installed packages to be UPGRADED: bind911: 9.11.0P2_1 -> 9.11.0P3 Number of packages to be upgraded: 1 7 MiB to be downloaded. Proceed with this action? [y/N]: y
複数のサーバーに更新を行った後、JPCERT の文章をよくよく読んでみると、「DNS64 と RPZの両方を有効に設定している場合のみ、named が終了する」可能性があるとのこと。こういう機能があること自体知らなかったので、私の named.conf はネットワークの定義のみで脆弱性がある機能は使用していないはず。仮に自動でONになる機能だとしても、最悪、落ちるだけで、DNSを乗っ取られたり、書き替えられたりする訳じゃないので、当サイトにとっては、深刻ではなさそうです。(上位プロバイダーのDNSは深刻でしょう。)更新しておいて悪いことは何もありませんが、慌てなくても、明日か明後日、デイリーの更新をかければ自動で更新できていたはず。慌てなくても良かった。
使っているソフトウェアに脆弱性が見つかることはよくある話ですが、それにしても運用メインのソフトウェアに直撃が連続することは希なので、今週はバタバタ。(セキュリティーアラートが発生しても、その内容は、普通 該当しない脆弱性が殆どなので、ここに記録を残すことは無くて済んでいるんですけどね。)
JPCERT のセキュリティーメーリングリストには毎度感謝。
さて、DNS64 と RPZ に関して、検索してみたところ、
DNS64 は IPv6 のみで稼働のホストと IPv4 の間で名前検索できるようにするための仕組みのようです。IPv4のみで稼働していて、IPv6 と直接通信しない我が家では利用予定無し。
RPZ は Response Policy Zone の頭文字を取ったもので、DNS のレベルで、アクセスさせたくないドメインへの名前検索を別のホストへの転送などで、行えなくするもののようです。例えば、.cn サイトへ名前検索が発生したら、.cn ホスト検索は行わず、自ネットワークのアドレスを返すことで、アクセスしてはならないサイトへパケットが出ることを防ぐ仕組みのようです。私は、http proxy のレベルでブロックすればいいかと考えていましたが、こういうやり方も面白いですね。