ISC BIND 9 の Update policy 機能の説明が実際の挙動と異なっている問題
BIND9はインターネット上で最も利用されているDNSサーバーである。現在はISC(Internet Systems Consortium)と呼ばれるNPOが管理している。
BINDは名前解決を適切に行うためにDNSレコードを更新。update policyは更新を管理する機能である。update policyでは管理によって使用するルールを変更する。このルールはいくつか用意されている。今回問題になっているのはkrb5-subdomain と ms-subdomainと呼ばれる2つのルールである。
これらのルールがARM(Administrator’s Reference Manual)と呼ばれる管理者ガイドに記載されている内容と異なった振る舞いをすることが分かった。
この誤った記述により、管理者は実際よりも強い制限がルールによりかかっていると信じる可能性がある。結果として本来受け付けてはいけないアップデートリクエストがBINDで受け入れられてしまい、例えばFQDNを本来とは違うIPアドレスにするような攻撃にあう可能性がある。
CVE-2018-5741: Update policies krb5-subdomain and ms-subdomain
