-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2021-0035
                                                             JPCERT/CC
                                                            2021-08-19

                  <<< JPCERT/CC Alert 2021-08-19 >>>

               ISC BIND 9の脆弱性（CVE-2021-25218）に関する注意喚起

            https://www.jpcert.or.jp/at/2021/at210035.html


I. 概要
ISC BIND 9には、応答速度制限（RRL）が有効な場合に、namedが有効なインター
フェースの最大転送単位（MTU）よりも大きい応答を行った際にアサーション
エラーを引き起こす脆弱性があります。脆弱性が悪用されると、遠隔の第三者
がnamedを異常終了させる可能性があります。

ISCは、本脆弱性に対する深刻度を「高（High）」と評価しています。脆弱性
の詳細はISCの情報を確認してください。

    Internet Systems Consortium, Inc.（ISC）
    CVE-2021-25218: A too-strict assertion check could be triggered when responses in BIND 9.16.19 and 9.17.16 require UDP fragmentation if RRL is in use
    https://kb.isc.org/docs/cve-2021-25218

影響を受けるバージョンのISC BIND 9を運用している場合は、「III.対策」を
参考に修正済みバージョンの適用について検討してください。


II. 対象
対象となる製品とバージョンは次のとおりです。

  - BIND 9.17.16
  - BIND 9.16.19
  - BIND 9 Supported Preview Edition 9.16.19-S1

本脆弱性は、上記のバージョンのみ影響を受けるとのことです。

RRLはデフォルトではChaos（CH）クラスでのみ有効となっています。ディスト
リビューターが提供しているBINDをお使いの場合は、使用中のディストリビュー
ターなどの情報を参照してください。


III. 対策
ISCは脆弱性を修正したバージョンのISC BIND 9を公開しました。また、
今後各ディストリビューターなども、修正済みのバージョンを提供すると
思われます。十分なテストを実施の上、更新の適用を検討してください。

  - BIND 9.17.17
  - BIND 9.16.20
  - BIND Supported Preview Edition 9.16.20-S1

なお回避策として、named.confから既存のすべてのrate-limit文を削除し、代
替としてデフォルトのChaosビューを定義することで、Chaosを含むすべてのク
ラスのRRLを無効化することが挙げられています。


IV. 参考情報
    Internet Systems Consortium, Inc.（ISC）
    BIND 9 Security Vulnerability Matrix
    https://kb.isc.org/docs/aa-00913

    株式会社日本レジストリサービス（JPRS）
    （緊急）BIND 9.16.19の脆弱性（DNSサービスの停止）について（CVE-2021-25218）- BIND 9.16.19のみが対象、バージョンアップを強く推奨 -
    https://jprs.jp/tech/security/2021-08-19-bind9-vuln-rrl.html


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=dPH2
-----END PGP SIGNATURE-----