JVNDB-2018-007670
|
ISC BIND 9 の Update policy 機能の説明が実際の挙動と異なっている問題
|
|
ISC BIND 9 のマニュアルでは、Update policy 機能で提供されているルール krb5-subdomain および ms-subdomain の説明が、実際の挙動と異なっています。
ISC BIND では、Dynamic DNS (DDNS) による DNS レコードのアップデートを制御するために update-policy という機能が提供されています。クライアントから送られてくる DNS レコードのアップデートリクエストの処理を、リクエストで使用される鍵情報に基づいて制限するようなルールを設定することが可能です。
設定できるルールの種類は複数用意されていますが、実装された当初、これらのルールの挙動についてマニュアル (ARM, Administrator's Reference Manual) には記載されていませんでした。その後 change #3112 にて説明が追加されましたが、2つのルール krb5-subdomain と ms-subdomain の説明が実際の挙動と異なっていました。これにより、ARM の説明では許可しないはずのアップデートリクエストを受け付けてしまう可能性があります。
|
|
CVSS v3 による深刻度
基本値: 6.5 (警告) [JPCERT/CC値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): 高
- 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 4.0 (警告) [JPCERT/CC値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 単一
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
|
ISC, Inc.
- BIND 9.11.5 より前
- BIND 9.12.3 より前
|
|
|
認証されたクライアントからのアップデートリクエストにより、DDNS によって更新されることを想定していない DNS レコードが更新される可能性があります。
例えば、以下のような "example.com" ゾーンの設定を行っている場合、
zone example.com {
...
update-policy {
grant SUB.EXAMPLE.COM krb5-subdomain . ANY;
};
};
host/machine.sub.example.com@SUB.EXAMPLE.COM として認証されたクライアントは、"example.com" およびそれ以下の DNS レコードを更新することが可能となります。
マニュアルでは、認証されたマシン名からなるドメイン名 "machine.sub.example.com" およびそれ以下の DNS レコードのみ更新を許可すると説明されていました。
|
|
[ワークアラウンドを実施する]
*更新を許可する範囲を独立したゾーンとして設定する。例えば、example.com ゾーンの一部の更新を許可するため sub.example.com ゾーンを設定し、適切な update-policy の設定を行う。
[アップデートする]
開発者によると、本件への対策を行った次のバージョンを 2018年10月中にリリース予定とのことです。
*BIND 9.11.5
*BIND 9.12.3
設定ファイルの解析処理に関するバグ修正とともに、新たな種類のルール <code>krb5-selfsub</code> と <code>ms-selfsub</code> の提供が表明されています。開発者が提供する情報をもとに、最新版へアップデートするとともにゾーン設定の内容を適切に行ってください。
|
|
ISC, Inc.
|
|
- 不正な認証(CWE-863) [NVD評価]
|
|
- CVE-2018-5741
|
|
- JVN : JVNVU#90728793
- National Vulnerability Database (NVD) : CVE-2018-5741
|
|
- [2018年09月21日]
掲載
- [2019年08月28日]
参考情報:National Vulnerability Database (NVD) (CVE-2018-5741) を追加
|
