FreeBSD セキュリティ勧告 日本語版 ============================================================================= FreeBSD-SA-03:19.bind (2003-11-28) * bind8 negative cache poison attack ============================================================================= このメールは, announce-jp に流れた Subject: ANNOUNCE: FreeBSD Security Advisory FreeBSD-SA-03:19.bind From: FreeBSD Security Advisories Date: Fri, 28 Nov 2003 14:48:49 -0800 (PST) Message-Id: <200311282248.hASMmng4026435@freefall.freebsd.org> X-Sequence: announce-jp 1199 を日本語訳したものです。 原文は PGP 署名されていますが、この日本語訳は PGP 署名されていません。 修正パッチ等の内容が改ざんされていないことを確認するために PGP 署名の チェックをおこなうには、原文を参照してください。 日本語訳およびミラーサイト利用の詳細については、文末の「A. FreeBSD セキュリティ勧告 日本語版について」をご覧ください。 [翻訳者: 佐藤 広生 ] --(ここから) ============================================================================= FreeBSD-SA-03:19.bind Security Advisory The FreeBSD Project トピック: bind8 の否定応答キャッシュを悪用した攻撃 (bind8 negative cache poison attack) 分類: contrib モジュール: contrib_bind 告知日: 2003-11-28 クレジット: Internet Software Consortium 影響範囲: FreeBSD 4.9-RELEASE から FreeBSD 5.1-RELEASE までの すべての FreeBSD リリース 修正日より前の 4-STABLE 修正日: 2003-11-28 22:13:47 UTC (RELENG_4, 4.9-STABLE) 2003-11-27 00:54:53 UTC (RELENG_5_1, 5.1-RELEASE-p11) 2003-11-27 16:54:01 UTC (RELENG_5_0, 5.0-RELEASE-p19) 2003-11-27 00:56:06 UTC (RELENG_4_9, 4.9-RELEASE-p1) 2003-11-27 16:34:22 UTC (RELENG_4_8, 4.8-RELEASE-p14) 2003-11-27 16:35:06 UTC (RELENG_4_7, 4.7-RELEASE-p24) 2003-11-27 16:37:00 UTC (RELENG_4_6, 4.6.2-RELEASE-p27) 2003-11-27 16:38:36 UTC (RELENG_4_5, 4.5-RELEASE-p37) 2003-11-27 16:40:03 UTC (RELENG_4_4, 4.4-RELEASE-p47) CVE Name: CAN-2003-0914 FreeBSD に固有か: NO 上記の項目やセキュリティブランチ、以下の各節ついての説明など、 FreeBSD セキュリティ勧告についての一般的な情報は、 をご覧ください。 I. 背景 - Background BIND 8 はドメインネームシステム (DNS) プロトコルの実装のひとつです。 named(8) デーモンは、それに含まれるインターネットドメインネームサーバです。 II. 問題の詳細 - Problem Description BIND 8 の named には、ある DNS メッセージを誤って否定応答 (negative response) としてキャッシュに記録してしまうという、プログラム上の間違いが 含まれています。 III. 影響範囲 - Impact 攻撃者は、悪意のある DNS メッセージを作成して攻撃対象のネームサーバに 送り、そのサーバにおいて、そのメッセージを特定のドメイン名に対する 否定応答としてキャッシュに記録するよう仕向けることができる可能性があります。 攻撃されたネームサーバはその後、特定のドメイン名に対する正規の問い合わせに 否定応答を返すため、これは DNS を利用するアプリケーションに対する サービス妨害となります。ウェブ、電子メール、チャットなど、ほとんどの インターネットアプリケーションは DNS を必要とします。 IV. 回避方法 - Workaround 回避方法は見つかっていません。 V. 解決策 - Solution 次のいずれかひとつに従ってください。 1) 弱点を持った FreeBSD システムを最新の 4.9-STABLE, もしくは修正日以降の RELENG_5_1, RELENG_4_9, RELENG_4_8, RELENG_4_7 セキュリティブランチのいずれかにアップグレードする。 2) 現在のシステムに修正パッチを適用する。 a) 以下の場所から修正パッチをダウンロードし、PGP ユーティリティを使って PGP 署名を確認します。 [FreeBSD 4.9 および -STABLE システム用] # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-03:19/bind-836.patch # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-03:19/bind-836.patch.asc [FreeBSD 4.8 および 5.1 システム用] # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-03:19/bind-834.patch # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-03:19/bind-834.patch.asc [FreeBSD 4.4, 4.5, 4.6, 4.7, 5.0 システム用] # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-03:19/bind-833.patch # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-03:19/bind-833.patch.asc b) root 権限で次のコマンドを実行します。 # cd /usr/src # patch < /path/to/patch # cd /usr/src/lib/libbind # make obj && make depend && make # cd /usr/src/lib/libisc # make obj && make depend && make # cd /usr/src/usr.sbin/named # make obj && make depend && make && make install # cd /usr/src/libexec/named-xfer # make obj && make depend && make && make install (訳注: /path/to/patch の部分は修正パッチのパス名に置き換えてください) システムに修正パッチを適用した後は、named を再起動する必要があります。 root 権限で次のコマンドを実行してください。 # ndc restart VI. 修正の詳細 - Correction details FreeBSD において今回修正された各ファイルのリビジョン番号は、以下のとおりです。 ブランチ リビジョン パス名 - ------------------------------------------------------------------------- RELENG_4 src/contrib/bind/CHANGES 1.1.1.7.2.11 src/contrib/bind/README 1.1.1.7.2.9 src/contrib/bind/Version 1.1.1.3.2.10 src/contrib/bind/bin/named-xfer/named-xfer.c 1.3.2.8 src/contrib/bind/bin/named/Makefile 1.3.2.6 src/contrib/bind/bin/named/ns_init.c 1.1.1.2.2.6 src/contrib/bind/bin/named/ns_resp.c 1.1.1.2.2.11 src/contrib/bind/bin/nslookup/commands.l 1.4.2.5 src/contrib/bind/bin/nslookup/debug.c 1.3.2.6 src/contrib/bind/bin/nslookup/getinfo.c 1.3.2.9 src/contrib/bind/bin/nslookup/main.c 1.3.2.7 src/contrib/bind/doc/man/dig.1 1.3.2.4 src/contrib/bind/doc/man/host.1 1.3.2.5 src/contrib/bind/doc/man/nslookup.8 1.2.2.5 src/contrib/bind/port/freebsd/include/port_after.h 1.6.2.9 src/contrib/bind/port/freebsd/include/port_before.h 1.1.1.2.2.6 RELENG_5_1 src/UPDATING 1.251.2.13 src/sys/conf/newvers.sh 1.50.2.13 src/contrib/bind/Version 1.1.1.11.2.1 src/contrib/bind/bin/named/ns_resp.c 1.1.1.11.2.1 RELENG_5_0 src/UPDATING 1.229.2.25 src/sys/conf/newvers.sh 1.48.2.20 src/contrib/bind/Version 1.1.1.10.2.1 src/contrib/bind/bin/named/ns_resp.c 1.1.1.10.2.1 RELENG_4_9 src/UPDATING 1.73.2.89.2.2 src/sys/conf/newvers.sh 1.44.2.32.2.2 src/contrib/bind/Version 1.1.1.3.2.9.2.1 src/contrib/bind/bin/named/ns_resp.c 1.1.1.2.2.10.2.1 RELENG_4_8 src/UPDATING 1.73.2.80.2.16 src/sys/conf/newvers.sh 1.44.2.29.2.15 src/contrib/bind/Version 1.1.1.3.2.8.2.1 src/contrib/bind/bin/named/ns_resp.c 1.1.1.2.2.9.2.1 RELENG_4_7 src/UPDATING 1.73.2.74.2.27 src/sys/conf/newvers.sh 1.44.2.26.2.26 src/contrib/bind/Version 1.1.1.3.2.7.2.1 src/contrib/bind/bin/named/ns_resp.c 1.1.1.2.2.7.2.2 RELENG_4_6 src/UPDATING 1.73.2.68.2.56 src/sys/conf/newvers.sh 1.44.2.23.2.44 src/contrib/bind/Version 1.1.1.3.2.6.2.2 src/contrib/bind/bin/named/ns_resp.c 1.1.1.2.2.6.2.3 RELENG_4_5 src/UPDATING 1.73.2.50.2.54 src/sys/conf/newvers.sh 1.44.2.20.2.38 src/contrib/bind/Version 1.1.1.3.2.4.4.2 src/contrib/bind/bin/named/ns_resp.c 1.1.1.2.2.4.4.3 RELENG_4_4 src/UPDATING 1.73.2.43.2.55 src/sys/conf/newvers.sh 1.44.2.17.2.46 src/contrib/bind/Version 1.1.1.3.2.4.2.2 src/contrib/bind/bin/named/ns_resp.c 1.1.1.2.2.4.2.3 - ------------------------------------------------------------------------- VII. 参考資料 - References A. FreeBSD セキュリティ勧告 日本語版について 日本語訳は FreeBSD 日本語ドキュメンテーションプロジェクト (doc-jp) が 参考のために提供するものです。過去の日本語版セキュリティ勧告は http://www.FreeBSD.org/ja/security/ にまとめられています。 ただし翻訳者および doc-jp は、その内容についていかなる保証も いたしませんのでご注意ください。日本語訳についてのご意見、ご要望、 お問い合わせ等は doc-jp@jp.FreeBSD.org までお願いします。 この勧告の中で紹介されている WWW サイト http://www.FreeBSD.org/ および FTP サイト ftp://ftp.FreeBSD.org/ には, 日本のミラーサイトが存在します。 ネットワークの混雑を緩和するため、まずはミラーサイトの利用を 考慮するようお願いします。 日本のミラーサイトを利用するには、 http://www.FreeBSD.org/ を http://www.jp.FreeBSD.org/www.freebsd.org/ に、 ftp://ftp.FreeBSD.org/ を ftp://ftp.jp.FreeBSD.org/ に、 それぞれ置き換えてください。 他の地域を含むミラーサイトに関する詳細は http://www.FreeBSD.org/doc/en_US.ISO8859-1/books/handbook/mirrors.html (英文) http://www.FreeBSD.org/doc/ja_JP.eucJP/books/handbook/mirrors.html (日本語訳) にまとめられています。 $hrs: announce-jp/FreeBSD-SA/03:19,v 1.5 2003/11/30 20:04:47 hrs Exp $