1. HOME
  2. お知らせ
  3. CVE-2020-8616 (NXNSAttack) について

NEWS

2020年05月25日

CVE-2020-8616 (NXNSAttack) について

製品関連情報

 

拝啓
貴社ますますご清栄のこととお慶び申し上げます。
また、平素は格別なるご高配を賜り厚く御礼申しあげます。

2020年05月19日、DNS の脆弱性である CVE-2020-8616 (NXNSAttack) が報告されました。
当該脆弱性は DNS プロトコルの仕組みを突いたもので、弊社製品である XACK DNS にも同様の脆弱性が存在します。
その詳細を下記に記載致します。
尚、Japan Vulnerability Notes (JVN) 様でも脆弱性情報を公開して頂いておりますので、併せてご覧下さい。

[日本語版] [English version]

—–

XACK DNS におけるサービス運用妨害 (DoS) の脆弱性

■脆弱性の概要
DNS サーバーである XACK DNS に、サービス運用妨害 (DoS) の脆弱性が存在します。

■影響を受けるシステム
次に挙げるバージョンの XACK DNS で、キャッシュサーバー機能を使用している (フルリゾルバーの設定を行っている) システム。

* XACK DNS 1.11.0 から 1.11.4
* XACK DNS 1.10.0 から 1.10.8
* XACK DNS 1.8.0 から 1.8.23
* XACK DNS 1.7.0 から 1.7.18
* XACK DNS 1.7.0 より前の全てのバージョン

■詳細情報
XACK DNS には、一般に NXNSAttack と呼称される脆弱性が存在します。DNS の仕組みを突いたリモートからの攻撃により、リフレクション攻撃に利用されたり、パフォーマンスを低下させられる可能性があります。

■想定される影響
・当該フルリゾルバーの負荷を上昇させ、パフォーマンスを低下させる
・当該フルリゾルバーを、リフレクション攻撃の反射器として悪用する

■対策方法
1) 対策

フルリゾルバーでの名前解決において、委任情報を処理するための権威DNS サーバーへの問い合わせ回数を制限する設定項目として、 cache_ns_name_limit を新たに追加します。

この設定項目は、次の XACK DNS から対応します。

* XACK DNS 1.11.5
* XACK DNS 1.10.9
* XACK DNS 1.8.24
* XACK DNS 1.7.19

XACK DNS 1.6.x 以下をご使用の場合は、最新バージョンにアップデートしてください。

2) 回避策

暫定的な対策として、設定項目 cache_recursion_limit を小さく設定することにより、一定の効果が期待できます。この設定項目は、ルートやトップレベルドメインを含むすべてのドメインに対して有効です。
ただしあまりに小さく設定すると、名前解決の成功率が下がる可能性があります。

—–

大変ご迷惑をお掛けいたしますが、対策・回避策の実施を何卒ご検討くださいますようお願い申し上げます。
敬具

■更新履歴
2020/05/25 初版
2020/06/05 JVN様にて脆弱性情報が公開された為、その内容に合わせる形で本文を修正