-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2020-0023 JPCERT/CC 2020-05-21 <<< JPCERT/CC Alert 2020-05-21 >>> ISC BIND 9 の脆弱性 (CVE-2020-8616, CVE-2020-8617) に関する注意喚起 https://www.jpcert.or.jp/at/2020/at200023.html I. 概要 ISC BIND 9 には、複数の脆弱性 (CVE-2020-8616, CVE-2020-8617) があります。 脆弱性 CVE-2020-8616 は、DNSの名前解決の動作に起因しており、リモートか らの攻撃によって、フルリゾルバを DNS リフレクション攻撃に利用されたり、 フルリゾルバのパフォーマンスを低下させられる恐れがあります。 脆弱性 CVE-2020-8617 は、TSIG リソースレコードを含むメッセージの有効性 のチェックの不具合に起因しており、特別に細工されたメッセージを受け取っ た場合に named の異常終了や、異常な動作が発生する可能性があります。 BIND 9 では TSIG のローカルセッション鍵がデフォルトで設定されるため、TSIG を 利用する設定をしていない場合も、対象となります。 ISC は、脆弱性 CVE-2020-8616、CVE-2020-8617 に対する深刻度を「高 (High )」と評価しています。脆弱性の詳細については、ISC の情報を確認してください。 Internet Systems Consortium, Inc. (ISC) CVE-2020-8616: BIND does not sufficiently limit the number of fetches performed when processing referrals https://kb.isc.org/docs/cve-2020-8616 Internet Systems Consortium, Inc. (ISC) CVE-2020-8617: A logic error in code which checks TSIG validity can be used to trigger an assertion failure in tsig.c https://kb.isc.org/docs/cve-2020-8617 なお、脆弱性 CVE-2020-8616 は、DNS リゾルバに対する攻撃手法 NXNSAttack と して報告されており、BIND を含む、複数の DNS サーバソフトウエアに影響があ るとされています。 影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」 を参考に、修正済みバージョンの適用について検討してください。 II. 対象 対象となる製品とバージョンは次のとおりです。 - BIND 9.16系 9.16.0 から 9.16.2 まで - BIND 9.14系 9.14.0 から 9.14.11 まで - BIND 9.11系 9.11.0 から 9.11.18 まで - BIND Supported Preview Edition 9.9.3-S1 から 9.11.18-S1 まで なお、既にサポートが終了している BIND 9.10系以前や 9.12系、9.13系、9.15系 および開発版の 9.17系についても本脆弱性の影響を受けるとのことです。 ディストリビュータが提供している BIND をお使いの場合は、使用中のディス トリビュータなどの情報を参照してください。 III. 対策 ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。ま た、今後各ディストリビュータなどからも、修正済みのバージョンが提供され ると思われますので、十分なテストを実施の上、修正済みのバージョンを適用 することをご検討ください。 - BIND 9.16.3 - BIND 9.14.12 - BIND 9.11.19 - BIND Supported Preview Edition version 9.11.19-S1 IV. 参考情報 株式会社日本レジストリサービス (JPRS) (緊急)BIND 9.xの脆弱性(パフォーマンスの低下・リフレクション攻撃の踏み台化)について(CVE-2020-8616) - バージョンアップを強く推奨 - https://jprs.jp/tech/security/2020-05-20-bind9-vuln-processing-referrals.html 株式会社日本レジストリサービス (JPRS) (緊急)BIND 9.xの脆弱性(DNSサービスの停止・異常な動作)について(CVE-2020-8617) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 - https://jprs.jp/tech/security/2020-05-20-bind9-vuln-tsig.html Tel Aviv University NXNSAttack http://www.nxnsattack.com/ Internet Systems Consortium, Inc. (ISC) CVE-2020-8617: FAQ and Supplemental Information https://kb.isc.org/docs/cve-2020-8617-faq-and-supplemental-information Internet Systems Consortium, Inc. (ISC) ISC is releasing updated versions of BIND 9 to address two newly-discovered security vulnerabilities https://www.isc.org/blogs/bind9-vulnerabilities-2020-05/ Internet Systems Consortium, Inc. (ISC) BIND 9 Security Vulnerability Matrix https://kb.isc.org/docs/aa-00913 今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで ご連絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) 早期警戒グループ Email: ew-info@jpcert.or.jp -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJexbbuAAoJEKntH+qu5CT/DfYQAJUMxGlaeKeTYMVzTrQtdh5n fklAdPym+qZCjsgVv/do1YqQv8nYaMtPF+r5P+Cixc6+VGppqiTxcgXm0qXtoyXC qkPxF9cb+cnUkLYRaTdCwFmdeQnHeUo866H6dlZi/6qOFocLShyjofj1tzW02xMP T8ntg+/7SbjJIx+5gBSq4olB1QQc5kXn7C4+L+oNo7wiINgwR0rtYIJwlpjkOuxB zbY9SzJek8w+UjhyI1+tE7VjZ0cMQCOZm1CAVGWqtiFs0J/Uke/FIpNLX3CtW4UE jkjXCwXPLeWFwsN4xhAJBjknJ5a4g0BopPyebESJNXydjoOvlG9ACrwLlj5QIdXf S+dx3lrlCM3ap7mNdFEHjMqzaB3qk/sGGTjNkpBoGa1dBAtDyjmT6EZYkOrmGLKZ Mczd+CfcdKf9GIHF909i0US90JqCyacD1TnqjX9JiyyrKwxVGjVQvT6Y+8Y6CssI 7oF0Tn6H9ubKgjuUcA8fKH17qgHN30DmYD0bFA3jXOv3sNMD7qwAtuNxlEglss7x AnLRSNo9hq35G95KDhD8v3R/uk57+Jv4ntIFAdztfdjtfenOd0ZgLo6pHCNrNh69 3P93zR9Dg6sROJRoUVSu3YuEM2jCGP7KouKdLzUrUJaCfYvyBnBg3icCIoEHdLKl tcX6kl/3/9UHw60LO8q6 =tOHR -----END PGP SIGNATURE-----