-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2021-0021 JPCERT/CC 2021-04-30 <<< JPCERT/CC Alert 2021-04-30 >>>    ISC BIND 9の複数の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210021.html I. 概要 ISC BIND 9には、複数の脆弱性があります。脆弱性が悪用されると、遠隔の第 三者がnamedの異常終了やリモートコード実行などを引き起こす可能性があり ます。 ISCは、脆弱性CVE-2021-25215とCVE-2021-25216に対する深刻度を「高(High)」、 脆弱性CVE-2021-25214に対する深刻度を「中(Medium)」と評価しています。 脆弱性の詳細はISCの情報を確認してください。 Internet Systems Consortium, Inc.(ISC) CVE-2021-25214: A broken inbound incremental zone update (IXFR) can cause named to terminate unexpectedly https://kb.isc.org/docs/cve-2021-25214 Internet Systems Consortium, Inc.(ISC) CVE-2021-25215: An assertion check can fail while answering queries for DNAME records that require the DNAME to be processed to resolve itself https://kb.isc.org/docs/cve-2021-25215 Internet Systems Consortium, Inc.(ISC) CVE-2021-25216: A second vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack https://kb.isc.org/docs/cve-2021-25216 影響を受けるバージョンのISC BIND 9を運用している場合、「III.対策」を 参考に修正済みバージョンの適用を検討してください。 II. 対象 対象となる製品とバージョンは次のとおりです。 - BIND 9.16系9.16.0から9.16.13まで - BIND 9.11系9.11.0から9.11.29まで - BIND 9 Supported Preview Edition 9.16.8-S1から9.16.11-S3まで - BIND 9 Supported Preview Edition 9.11.3-S1から9.11.29-S1まで CVE-2021-25214は、namedの設定でゾーン転送を受け付けている場合にのみ影 響を与えます。CVE-2021-25216は、namedの設定ファイルでGSS-APIに関するオ プション(tkey-gssapi-keytabまたはtkey-gssapi-credential)の値を明示的 に指定している場合に影響を与えます。なお、サポートが終了したBIND 9.10 系以前、9.12系から9.15系まで、および開発版の9.17系も影響を受けます。脆 弱性の影響を受ける環境は、ISC BIND 9をActive Directoryのドメインコント ローラーと組み合わせた混合サーバー環境に加え、ISC BIND 9がSambaと統合 されているネットワークも含みます。 ディストリビューターが提供しているBINDをお使いの場合は、使用中のディスト リビューターなどの情報を参照してください。 III. 対策 ISCは脆弱性を修正したバージョンのISC BIND 9を公開しました。また、 今後各ディストリビューターなども、修正済みのバージョンを提供すると 思われます。十分なテストを実施の上、更新の適用を検討してください。 - BIND 9.16.15 - BIND 9.11.31 - BIND 9 Supported Preview Edition 9.16.15-S1 - BIND 9 Supported Preview Edition 9.11.31-S1 IV. 参考情報 Internet Systems Consortium, Inc.(ISC) BIND 9 Security Vulnerability Matrix https://kb.isc.org/docs/aa-00913 一般社団法人日本ネットワークインフォメーションセンター(JPNIC) BIND 9における複数の脆弱性について(2021年4月) https://www.nic.ad.jp/ja/topics/2021/20210429-01.html 株式会社日本レジストリサービス(JPRS) BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2021-25214)- セカンダリサーバーのみ対象、バージョンアップを推奨 - https://jprs.jp/tech/security/2021-04-30-bind9-vuln-ixfr.html 株式会社日本レジストリサービス(JPRS) (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2021-25215)- バージョンアップを強く推奨 - https://jprs.jp/tech/security/2021-04-30-bind9-vuln-dname.html 株式会社日本レジストリサービス(JPRS) (緊急)BIND 9.xの脆弱性(DNSサービスの停止・リモートコード実行)について(CVE-2021-25216)- GSS-TSIGが有効に設定されている場合のみ対象、バージョンアップを強く推奨 - https://jprs.jp/tech/security/2021-04-30-bind9-vuln-gsstsig.html 今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで ご連絡ください。 ====================================================================== 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) 早期警戒グループ Email:ew-info@jpcert.or.jp -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJgi4VoAAoJEKntH+qu5CT/TGkQAJZyb+JaB6Su/ubfHT6jhtCU tOczhGDeKz+uzFzy/6lF+rH/KD4j8SqdJW+B2hyiDKemQRhYMH66usVE+qwbVNnD 4ICUjVGiuOWVQagsXgb0cbi2YCjLj2I9dR/Mt+KS5PLwWCRVpjMPJclM4M/VoPMp lGZPj/7pZy0HMMz1VJAls1FUTNRNZt41utocdPJJ7thFJK2j0DGEW88qj4JjkT6g WgxNIgqSJYhYARsu5BDQX8GCsaZ38aK9zAzjPjc22OcjylIv8b+gea7/ilaaFTU0 Pc2wPRqgjTo+YET+jpbsgBKg/5HSw50XTG2mDk0clhRPZIB3Ve2drA19VTDdT6F5 CZqr/TmuWbu+1V2jFHdvJzLOdt/+6hmeb9qruYQ7emsxc+DVxeSkNzfPP0fqSGOa ksY0NZSw5VHNcyuDqakfBKnGJe+sU+l2YwtEvMWlYARsKLk5H1SrHZ8frjridpIP 4GN+1XR35rE0xpNZChAkzbV2p5xtxb7AGrfUs/ZVzB3N9bEq/lPKZSyby+91CNPD 7r2rGZElJSFSI+B4QIJ5eCD1RQJVSLp4naesU4mbJlIi4jm2Jkn5FvHX2yzPGQsP SBoNLxltTf57Eyt2aFPDTxq7DDUo8MAjRs1TzJlwbNIjaMJsCZ+BmJI5tW4CtwyY pzwKxIdiJDqQKo4G/f9s =8mzu -----END PGP SIGNATURE-----