-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2021-0010
                                                             JPCERT/CC
                                                            2021-02-18

                  <<< JPCERT/CC Alert 2021-02-18 >>>

         ISC BIND 9の脆弱性（CVE-2020-8625）に関する注意喚起

            https://www.jpcert.or.jp/at/2021/at210010.html


I. 概要
ISC BIND 9には、SPNEGO実装におけるバッファーオーバーフローの脆弱性（CVE-2020-8625）
があります。SPNEGOは、GSS-TSIGに基づく鍵交換で使用されるGSS-APIにおい
て認証メカニズムを提供しています。本脆弱性が悪用されると、遠隔の第三者
がサービス運用妨害（DoS）などを引き起こす可能性があります。

ISCは、本脆弱性に対する深刻度を「高（High）」と評価しています。脆弱性
の詳細については、ISCの情報を確認してください。

    Internet Systems Consortium, Inc. (ISC)
    CVE-2020-8625: A vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack
    https://kb.isc.org/docs/cve-2020-8625

影響を受けるバージョンのISC BIND 9を運用している場合は、「III.対策」を
参考に修正済みバージョンの適用について検討してください。


II. 対象
対象となる製品とバージョンは次のとおりです。

  - BIND 9.16系9.16.0から9.16.11まで
  - BIND 9.11系9.11.0から9.11.27まで
  - BIND 9 Supported Preview Edition 9.16.8-S1から9.16.11-S1まで
  - BIND 9 Supported Preview Edition 9.11.3-S1から9.11.27-S1まで

設定ファイルにおいて、GSS-APIに関するオプション（tkey-gssapi-keytabま
たはtkey-gssapi-credential）を指定している場合に対象となります。なお、
すでにサポートが終了しているBIND 9.10系以前や9.12系から9.15系まで、お
よび開発版の9.17系についても影響を受けるとのことです。

ディストリビューターが提供しているBINDをお使いの場合は、使用中のディスト
リビューターなどの情報を参照してください。


III. 対策
ISCから脆弱性を修正したバージョンのISC BIND 9が公開されています。また、
今後各ディストリビューターなどからも、修正済みのバージョンが提供されると
思われるため、十分なテストを実施の上、修正済みのバージョンを適用するこ
とをご検討ください。

  - BIND 9.16.12
  - BIND 9.11.28
  - BIND 9 Supported Preview Edition 9.16.12-S1
  - BIND 9 Supported Preview Edition 9.11.28-S1


IV. 参考情報
    株式会社日本レジストリサービス（JPRS）
    （緊急）BIND 9.xの脆弱性（DNSサービスの停止・リモートコード実行）について（CVE-2020-8625）- GSS-TSIGが有効に設定されている場合のみ対象、バージョンアップを強く推奨 -
    https://jprs.jp/tech/security/2021-02-18-bind9-vuln-gsstsig.html

    Internet Systems Consortium, Inc. (ISC)
    BIND 9 Security Vulnerability Matrix
    https://kb.isc.org/docs/aa-00913


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=amfV
-----END PGP SIGNATURE-----