JVNVU#531342
Unbound DNS リゾルバにサービス運用妨害 (DoS) の脆弱性
Unbound DNS リゾルバには、サービス運用妨害 (DoS) の脆弱性が存在します。
- Unbound 1.4.9 およびそれ以前のバージョン
Unbound DNS リゾルバには、細工された DNS クエリを受信した際に空の UDP パケットで応答することに起因する、サービス運用妨害 (DoS) の脆弱性が存在します。
なお、開発者から以下の脆弱性情報が公開されています。
"Certain types of DNS queries may cause Unbound to respond with a DNS error message. The code generating this error message contains an error whereby Unbound constructs an empty UDP message. That empty UDP message triggers an assertion failsafe in the part of Unbound that is invoked when the interface-automatic option is set. In the case that the interface-automatic option was not set or assertion failsafe is not configured the empty packets would be sent, which is not harmful. The error can only be triggered when Unbound is configured with assertions (--enable-checking or --enable-debug) and has the option interface-automatic turned on.
Versions in which this error occurs: Unbound 1.0 up to and including Unbound 1.4.9
- FreeBSD ports for Unbound are not susceptible by default, as it does not enable assertions.
- RHEL/Fedora systems do compile Unbound with --enable-checking but do not set automatic-interface:yes per default.
- Debian/Ubuntu Unbound packages do not compile with assertions by default."
遠隔の第三者によって、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
アップデートする
NLnet Labs が提供する情報をもとにアップデートを適用してください。
| ベンダ | リンク |
| NLnet Labs | Unbound Downloads |
| NLnetLabs advisory | |
| Unbound |
2011.05.26における脆弱性分析結果
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | インターネット経由からの攻撃が可能 |
|
| 認証レベル | 匿名もしくは認証なしで攻撃が可能 |
|
| 攻撃成立に必要なユーザーの関与 | ユーザが何もしなくても脆弱性が攻撃される可能性がある |
|
| 攻撃の難易度 | ある程度の専門知識や運 (条件が揃う確率は高い) が必要 |
|
