JPCERT-AT-2021-0035
JPCERT/CC
2021-08-19
ISCは、本脆弱性に対する深刻度を「高(High)」と評価しています。脆弱性の詳細はISCの情報を確認してください。
Internet Systems Consortium, Inc.(ISC)
CVE-2021-25218: A too-strict assertion check could be triggered when responses in BIND 9.16.19 and 9.17.16 require UDP fragmentation if RRL is in use
https://kb.isc.org/docs/cve-2021-25218
影響を受けるバージョンのISC BIND 9を運用している場合は、「III.対策」を参考に修正済みバージョンの適用について検討してください。
- BIND 9.17.16
- BIND 9.16.19
- BIND 9 Supported Preview Edition 9.16.19-S1
本脆弱性は、上記のバージョンのみ影響を受けるとのことです。
RRLはデフォルトではChaos(CH)クラスでのみ有効となっています。ディストリビューターが提供しているBINDをお使いの場合は、使用中のディストリビューターなどの情報を参照してください。
- BIND 9.17.17
- BIND 9.16.20
- BIND Supported Preview Edition 9.16.20-S1
なお回避策として、named.confから既存のすべてのrate-limit文を削除し、代替としてデフォルトのChaosビューを定義することで、Chaosを含むすべてのクラスのRRLを無効化することが挙げられています。
Internet Systems Consortium, Inc.(ISC)
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/docs/aa-00913
株式会社日本レジストリサービス(JPRS)
(緊急)BIND 9.16.19の脆弱性(DNSサービスの停止)について(CVE-2021-25218)- BIND 9.16.19のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2021-08-19-bind9-vuln-rrl.html
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT/CC
2021-08-19
I. 概要
ISC BIND 9には、応答速度制限(RRL)が有効な場合に、namedが有効なインターフェースの最大転送単位(MTU)よりも大きい応答を行った際にアサーションエラーを引き起こす脆弱性があります。脆弱性が悪用されると、遠隔の第三者がnamedを異常終了させる可能性があります。ISCは、本脆弱性に対する深刻度を「高(High)」と評価しています。脆弱性の詳細はISCの情報を確認してください。
Internet Systems Consortium, Inc.(ISC)
CVE-2021-25218: A too-strict assertion check could be triggered when responses in BIND 9.16.19 and 9.17.16 require UDP fragmentation if RRL is in use
https://kb.isc.org/docs/cve-2021-25218
影響を受けるバージョンのISC BIND 9を運用している場合は、「III.対策」を参考に修正済みバージョンの適用について検討してください。
II. 対象
対象となる製品とバージョンは次のとおりです。- BIND 9.17.16
- BIND 9.16.19
- BIND 9 Supported Preview Edition 9.16.19-S1
本脆弱性は、上記のバージョンのみ影響を受けるとのことです。
RRLはデフォルトではChaos(CH)クラスでのみ有効となっています。ディストリビューターが提供しているBINDをお使いの場合は、使用中のディストリビューターなどの情報を参照してください。
III. 対策
ISCは脆弱性を修正したバージョンのISC BIND 9を公開しました。また、今後各ディストリビューターなども、修正済みのバージョンを提供すると思われます。十分なテストを実施の上、更新の適用を検討してください。- BIND 9.17.17
- BIND 9.16.20
- BIND Supported Preview Edition 9.16.20-S1
なお回避策として、named.confから既存のすべてのrate-limit文を削除し、代替としてデフォルトのChaosビューを定義することで、Chaosを含むすべてのクラスのRRLを無効化することが挙げられています。
IV. 参考情報
Internet Systems Consortium, Inc.(ISC)
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/docs/aa-00913
株式会社日本レジストリサービス(JPRS)
(緊急)BIND 9.16.19の脆弱性(DNSサービスの停止)について(CVE-2021-25218)- BIND 9.16.19のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2021-08-19-bind9-vuln-rrl.html
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp