NSDのバージョン3.xに実装上の不具合

日本レジストリサービスは7月20日、オープンソースのDNSサーバーソフトである「NSD」にリモートからサービス妨害（Dos）攻撃を受ける可能性がある危険な脆弱性が見つかったことをアナウンスし、運用者に対してバージョンアップや緊急パッチの適用などの措置を速やかに取るよう呼びかけました。
アナウンスによれば、NSDのバージョン3.xには実装上の不具合があり、「特殊なDNSパケットを受け取るとnull pointer dereference（Nullポインタの参照外し）を引き起こし、サーバーの子プロセスが異常終了してしまう」という現象が発生するといいます。
特殊なDNSパケットの内容などは具体的に明らかにされていませんが、修正パッチの内容を見るとDNSの拡張仕様である「EDNS0」まわりの処理が関係しているようです。
なお、通常は子プロセスが異常終了しても親プロセスによって自動的にプロセスが再起動されるようになっていますが、攻撃者がDNSサーバーに対して継続的にDNSパケットを送り付けることにより、事実上サーバーがダウンしたままでサービス提供できない状態を維持できてしまいます。
現状でこの脆弱性に対する一時的な回避策はなく、抜本的な解決策として、NSDの開発元であるオランダのNLnet Labsが7月19日に緊急リリースした「NSD 3.2.12」へバージョンアップするか、NLnet Labsがリリースした修正パッチを適用するか、あるいは各OSディストリビューションベンダーから提供されるアップデートを適用する必要があります。
NSDは、権威DNSサーバーに特化したDNSサーバーソフトです。
パフォーマンスの高さやシンプルな構造であることなどが評価されていて、DNSの仕組みの根幹を成す「ルートDNSサーバー」の一部でも採用されています。