Debian セキュリティ勧告

DSA-1603-1 bind9 -- DNS キャッシュポイゾニング攻撃

報告日時:

2008-07-08

影響を受けるパッケージ:

bind9

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2008-1447.
CERT の脆弱性リスト、勧告および付加情報: VU#800113.

詳細:

Dan Kaminsky さんにより、DNS プロトコルに内在する特性に欠陥があり、DNS 詐称攻撃やキャッシュポイゾニング攻撃が現実の脅威となることが発見されました。攻撃が成功した場合、典型的にはウェブ通信や電子メールを他のサイトに不正転送することが可能で、それ以外の攻撃手法もありえます。

この更新では Debian の BIND 9 パッケージに推奨された対応策 (UDP クエリソースポートのランダム化) を実装しました。この変更は攻撃者が推定しなければならない探索空間のサイズを、後方互換性を守る形で拡大し、攻撃の成功を困難にします。

このセキュリティアップデートは、BIND ネットワークの挙動を根本的に変更します。このため、スムーズな移行のため以下の手順をお勧めします。

1. ネットワークの構成が、ソースポートランダム化を許しているかどうかを確認してください。もしリゾルバをステートレスパケットフィルタで保護している場合、DNS 以外のサービスが 1024--65535 UDP ポート範囲をリスンしていないことを確認して、その範囲をパケットフィルタで通すようにしてください。例えば、Linux 2.6.18 カーネルを使った etch のパケットフィルタは、IPv6 パケットに対してステートレスフィルタ機能のみが提供されていますから、この問題が発生します (IPv4 を iptable で ESTABLISHED ルールのみで使っている場合、ネットワークの変更は多分不要です)。

2. BIND 9 を "apt-get update" の実行後、"apt-get install bind9" を実行して更新します。named プロセスが再起動されて、再帰クエリに反応することを確認してください (もし全てのクエリがタイムアウトになるなら、ネットワークの変更が必要です。最初の項を見てください)。

3. ソースポートランダムかが有効になっていることを確認してください。 /var/log/daemon.log で、BIND の立ち上げ時の "listening on IPv6 interface" や "listening on IPv4 interface" のメッセージの直後に、以下のような形式のメッセージがはかれていないことをチェックしてください。

named[6106]: /etc/bind/named.conf.options:28: using specific query-source port suppresses port randomization and can be insecure.

このようなメッセージが吐かれている場合、設定から対象となる行を削除するか、記載されているポート番号を "*" に置き換えてください (例えば、 "port 53" を "port *" に書き換える)。

追加の確認のためには、UDP ソースポートが変化していることを tcpdump などのネットワークもにたツールで確認してください。リゾルバの前に NAT デバイスがある場合、NAT によりソースポートランダム性が損なわれていないかを確認してください。

4. ソースポートランダム化を有効にできない場合、BIND 9 を OpenVPN のような VPN を使ってクエリを実行できるリゾルバにフォワードを行うよう設定してください。これにより、必要な信用できるネットワークが実現できます (これについては BIND の forward-only を使ってください)。

Debian で提供されている他の DNS キャッシュリゾルバ (PowerDNS, MaraDNS, Unbound) は既にソースポートランダム化をおこなっており、パッケージの更新は必要ありませ塩。BIND 9.5 までと、バージョン 1:9.5.0.dfsg-4 まではソースポートランダム化を弱い形でしか実装しておらず、更新が必要です。BIND 8 については DSA-1604-1 を、libc スタブリゾルバについては DSA-1605-1 を参照ください。

この bind9 パッケージの更新には、次回の安定版のポイントリリースで含める予定だった修正が含まれています。それには、L.ROOT-SERVERS.NET (Debian bug #449148) の IP アドレス変更などが含まれています。

安定版 (stable) ディストリビューション (etch) では、この問題はバージョン 9.3.4-2etch3 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題は近く修正予定です。

直ぐに bind9 パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 4.0 (etch)

ソース:: http://security.debian.org/pool/updates/main/b/bind9/bind9_9.3.4-2etch3.dsc; http://security.debian.org/pool/updates/main/b/bind9/bind9_9.3.4.orig.tar.gz; http://security.debian.org/pool/updates/main/b/bind9/bind9_9.3.4-2etch3.diff.gz
アーキテクチャ非依存コンポーネント:: http://security.debian.org/pool/updates/main/b/bind9/bind9-doc_9.3.4-2etch3_all.deb
Alpha:: http://security.debian.org/pool/updates/main/b/bind9/libisccc0_9.3.4-2etch3_alpha.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind-dev_9.3.4-2etch3_alpha.deb; http://security.debian.org/pool/updates/main/b/bind9/lwresd_9.3.4-2etch3_alpha.deb; http://security.debian.org/pool/updates/main/b/bind9/libisccfg1_9.3.4-2etch3_alpha.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9_9.3.4-2etch3_alpha.deb; http://security.debian.org/pool/updates/main/b/bind9/libisc11_9.3.4-2etch3_alpha.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind9-0_9.3.4-2etch3_alpha.deb; http://security.debian.org/pool/updates/main/b/bind9/libdns22_9.3.4-2etch3_alpha.deb; http://security.debian.org/pool/updates/main/b/bind9/dnsutils_9.3.4-2etch3_alpha.deb; http://security.debian.org/pool/updates/main/b/bind9/liblwres9_9.3.4-2etch3_alpha.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9-host_9.3.4-2etch3_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/b/bind9/lwresd_9.3.4-2etch3_amd64.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind-dev_9.3.4-2etch3_amd64.deb; http://security.debian.org/pool/updates/main/b/bind9/dnsutils_9.3.4-2etch3_amd64.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9_9.3.4-2etch3_amd64.deb; http://security.debian.org/pool/updates/main/b/bind9/libdns22_9.3.4-2etch3_amd64.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind9-0_9.3.4-2etch3_amd64.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9-host_9.3.4-2etch3_amd64.deb; http://security.debian.org/pool/updates/main/b/bind9/libisc11_9.3.4-2etch3_amd64.deb; http://security.debian.org/pool/updates/main/b/bind9/libisccfg1_9.3.4-2etch3_amd64.deb; http://security.debian.org/pool/updates/main/b/bind9/liblwres9_9.3.4-2etch3_amd64.deb; http://security.debian.org/pool/updates/main/b/bind9/libisccc0_9.3.4-2etch3_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/b/bind9/libisccfg1_9.3.4-2etch3_arm.deb; http://security.debian.org/pool/updates/main/b/bind9/liblwres9_9.3.4-2etch3_arm.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9-host_9.3.4-2etch3_arm.deb; http://security.debian.org/pool/updates/main/b/bind9/libdns22_9.3.4-2etch3_arm.deb; http://security.debian.org/pool/updates/main/b/bind9/dnsutils_9.3.4-2etch3_arm.deb; http://security.debian.org/pool/updates/main/b/bind9/libisccc0_9.3.4-2etch3_arm.deb; http://security.debian.org/pool/updates/main/b/bind9/libisc11_9.3.4-2etch3_arm.deb; http://security.debian.org/pool/updates/main/b/bind9/lwresd_9.3.4-2etch3_arm.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind9-0_9.3.4-2etch3_arm.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind-dev_9.3.4-2etch3_arm.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9_9.3.4-2etch3_arm.deb
HP Precision:: http://security.debian.org/pool/updates/main/b/bind9/libisccc0_9.3.4-2etch3_hppa.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind9-0_9.3.4-2etch3_hppa.deb; http://security.debian.org/pool/updates/main/b/bind9/libisc11_9.3.4-2etch3_hppa.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9-host_9.3.4-2etch3_hppa.deb; http://security.debian.org/pool/updates/main/b/bind9/libdns22_9.3.4-2etch3_hppa.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind-dev_9.3.4-2etch3_hppa.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9_9.3.4-2etch3_hppa.deb; http://security.debian.org/pool/updates/main/b/bind9/dnsutils_9.3.4-2etch3_hppa.deb; http://security.debian.org/pool/updates/main/b/bind9/liblwres9_9.3.4-2etch3_hppa.deb; http://security.debian.org/pool/updates/main/b/bind9/lwresd_9.3.4-2etch3_hppa.deb; http://security.debian.org/pool/updates/main/b/bind9/libisccfg1_9.3.4-2etch3_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/b/bind9/libisccfg1_9.3.4-2etch3_i386.deb; http://security.debian.org/pool/updates/main/b/bind9/dnsutils_9.3.4-2etch3_i386.deb; http://security.debian.org/pool/updates/main/b/bind9/libisccc0_9.3.4-2etch3_i386.deb; http://security.debian.org/pool/updates/main/b/bind9/lwresd_9.3.4-2etch3_i386.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9-host_9.3.4-2etch3_i386.deb; http://security.debian.org/pool/updates/main/b/bind9/libdns22_9.3.4-2etch3_i386.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind9-0_9.3.4-2etch3_i386.deb; http://security.debian.org/pool/updates/main/b/bind9/libisc11_9.3.4-2etch3_i386.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9_9.3.4-2etch3_i386.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind-dev_9.3.4-2etch3_i386.deb; http://security.debian.org/pool/updates/main/b/bind9/liblwres9_9.3.4-2etch3_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/b/bind9/libisc11_9.3.4-2etch3_ia64.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind9-0_9.3.4-2etch3_ia64.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9_9.3.4-2etch3_ia64.deb; http://security.debian.org/pool/updates/main/b/bind9/libdns22_9.3.4-2etch3_ia64.deb; http://security.debian.org/pool/updates/main/b/bind9/liblwres9_9.3.4-2etch3_ia64.deb; http://security.debian.org/pool/updates/main/b/bind9/dnsutils_9.3.4-2etch3_ia64.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9-host_9.3.4-2etch3_ia64.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind-dev_9.3.4-2etch3_ia64.deb; http://security.debian.org/pool/updates/main/b/bind9/libisccfg1_9.3.4-2etch3_ia64.deb; http://security.debian.org/pool/updates/main/b/bind9/libisccc0_9.3.4-2etch3_ia64.deb; http://security.debian.org/pool/updates/main/b/bind9/lwresd_9.3.4-2etch3_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/b/bind9/libisc11_9.3.4-2etch3_mips.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9_9.3.4-2etch3_mips.deb; http://security.debian.org/pool/updates/main/b/bind9/liblwres9_9.3.4-2etch3_mips.deb; http://security.debian.org/pool/updates/main/b/bind9/dnsutils_9.3.4-2etch3_mips.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind-dev_9.3.4-2etch3_mips.deb; http://security.debian.org/pool/updates/main/b/bind9/lwresd_9.3.4-2etch3_mips.deb; http://security.debian.org/pool/updates/main/b/bind9/libisccc0_9.3.4-2etch3_mips.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind9-0_9.3.4-2etch3_mips.deb; http://security.debian.org/pool/updates/main/b/bind9/libdns22_9.3.4-2etch3_mips.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9-host_9.3.4-2etch3_mips.deb; http://security.debian.org/pool/updates/main/b/bind9/libisccfg1_9.3.4-2etch3_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/b/bind9/bind9_9.3.4-2etch3_mipsel.deb; http://security.debian.org/pool/updates/main/b/bind9/libdns22_9.3.4-2etch3_mipsel.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind-dev_9.3.4-2etch3_mipsel.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9-host_9.3.4-2etch3_mipsel.deb; http://security.debian.org/pool/updates/main/b/bind9/liblwres9_9.3.4-2etch3_mipsel.deb; http://security.debian.org/pool/updates/main/b/bind9/libisc11_9.3.4-2etch3_mipsel.deb; http://security.debian.org/pool/updates/main/b/bind9/dnsutils_9.3.4-2etch3_mipsel.deb; http://security.debian.org/pool/updates/main/b/bind9/lwresd_9.3.4-2etch3_mipsel.deb; http://security.debian.org/pool/updates/main/b/bind9/libisccc0_9.3.4-2etch3_mipsel.deb; http://security.debian.org/pool/updates/main/b/bind9/libisccfg1_9.3.4-2etch3_mipsel.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind9-0_9.3.4-2etch3_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/b/bind9/libisc11_9.3.4-2etch3_powerpc.deb; http://security.debian.org/pool/updates/main/b/bind9/liblwres9_9.3.4-2etch3_powerpc.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9-host_9.3.4-2etch3_powerpc.deb; http://security.debian.org/pool/updates/main/b/bind9/libdns22_9.3.4-2etch3_powerpc.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind-dev_9.3.4-2etch3_powerpc.deb; http://security.debian.org/pool/updates/main/b/bind9/libisccc0_9.3.4-2etch3_powerpc.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind9-0_9.3.4-2etch3_powerpc.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9_9.3.4-2etch3_powerpc.deb; http://security.debian.org/pool/updates/main/b/bind9/libisccfg1_9.3.4-2etch3_powerpc.deb; http://security.debian.org/pool/updates/main/b/bind9/dnsutils_9.3.4-2etch3_powerpc.deb; http://security.debian.org/pool/updates/main/b/bind9/lwresd_9.3.4-2etch3_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/b/bind9/libisccfg1_9.3.4-2etch3_s390.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9_9.3.4-2etch3_s390.deb; http://security.debian.org/pool/updates/main/b/bind9/liblwres9_9.3.4-2etch3_s390.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind-dev_9.3.4-2etch3_s390.deb; http://security.debian.org/pool/updates/main/b/bind9/lwresd_9.3.4-2etch3_s390.deb; http://security.debian.org/pool/updates/main/b/bind9/libisc11_9.3.4-2etch3_s390.deb; http://security.debian.org/pool/updates/main/b/bind9/dnsutils_9.3.4-2etch3_s390.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9-host_9.3.4-2etch3_s390.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind9-0_9.3.4-2etch3_s390.deb; http://security.debian.org/pool/updates/main/b/bind9/libdns22_9.3.4-2etch3_s390.deb; http://security.debian.org/pool/updates/main/b/bind9/libisccc0_9.3.4-2etch3_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/b/bind9/bind9_9.3.4-2etch3_sparc.deb; http://security.debian.org/pool/updates/main/b/bind9/lwresd_9.3.4-2etch3_sparc.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind-dev_9.3.4-2etch3_sparc.deb; http://security.debian.org/pool/updates/main/b/bind9/libisccc0_9.3.4-2etch3_sparc.deb; http://security.debian.org/pool/updates/main/b/bind9/libisc11_9.3.4-2etch3_sparc.deb; http://security.debian.org/pool/updates/main/b/bind9/dnsutils_9.3.4-2etch3_sparc.deb; http://security.debian.org/pool/updates/main/b/bind9/libisccfg1_9.3.4-2etch3_sparc.deb; http://security.debian.org/pool/updates/main/b/bind9/libdns22_9.3.4-2etch3_sparc.deb; http://security.debian.org/pool/updates/main/b/bind9/libbind9-0_9.3.4-2etch3_sparc.deb; http://security.debian.org/pool/updates/main/b/bind9/bind9-host_9.3.4-2etch3_sparc.deb; http://security.debian.org/pool/updates/main/b/bind9/liblwres9_9.3.4-2etch3_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。