[심각] bind 9.x의 심각한 dos 공격 취약성

안녕하십니까? 씨디네트웍스 홍석범입니다.

어제 날짜로 bind dns 에 심각한 보안결함이 발견되었습니다.
자세한 내용은 아래와 같습니다.
 
-. dynamic update의 특성을 이용한 원격 dos 공격으로 bind 데몬이 즉시 종료됩니다.
-. dynamic update의 사용이나 설정 여부와 관계없이 모든 bind가 공격대상이 됩니다.
-. 해당 공격코드는 public하게 공개되었습니다.
-. 해당 공격코드는 bind 8.x 에 대해서는 작동하지 않는것 같습니다.
-. Redhat, centos등에서 패치를 공개하였습니다.
-. rpm 업데이트후 아래와 같이 확인됩니다.   
 # rpm -q bind --changelog
 * 목  7월 30 2009 Tomas Hoger <thoger redhat com> 30:9.3.4-10.P1.2
  - security fix for remote DoS (CVE-2009-0696, #514292)
-. 공격코드를 확보하여 테스트해 보았는데, 단 한 개의 패킷으로
   bind named가 다운되는 것을 확인하였습니다.
   공격으로 데몬 다운시 로그에 아래와 같이 보이게 됩니다.
   Jul 30 08:06:42 named[10638]: db.c:579: REQUIRE(type != ((dns_rdatatype_t)dns_rdatatype_any)) failed
   Jul 30 08:06:42 named[10638]: exiting (due to assertion failure)
   패치후에는 공격이 작동하지 않으며 이때 아래와 같이 보이게 됩니다.
   Jul 30 08:09:09 named[10807]: client 192.168.62.20#34794: updating zone 'antihong.com/IN':
   update unsuccessful: antihong.com/ANY: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET)
-. rpm이 아닌 소스컴파일된 bind의 경우 재설치를 하셔야 합니다.
   단순 config로 공격을 차단하는 방법은 없습니다.
-. 관련링크
https://www.isc.org/node/474

다시 말씀드리지만 본 취약성은 dynamic update의 특성을 이용하는 것이지만 실제 이 설정의 사용유무와 관계없이 공격에 노출되고 취약합니다.

감사합니다.