JPCERT コーディネーションセンター

ISC BIND 9 の脆弱性 (CVE-2020-8616, CVE-2020-8617) に関する注意喚起

各位

JPCERT-AT-2020-0023
JPCERT/CC
2020-05-21

JPCERT/CC Alert 2020-05-21


ISC BIND 9 の脆弱性 (CVE-2020-8616, CVE-2020-8617) に関する注意喚起

https://www.jpcert.or.jp/at/2020/at200023.html


I. 概要ISC BIND 9 には、複数の脆弱性 (CVE-2020-8616, CVE-2020-8617) があります。脆弱性 CVE-2020-8616 は、DNSの名前解決の動作に起因しており、リモートからの攻撃によって、フルリゾルバを DNS リフレクション攻撃に利用されたり、フルリゾルバのパフォーマンスを低下させられる恐れがあります。脆弱性 CVE-2020-8617 は、TSIG リソースレコードを含むメッセージの有効性のチェックの不具合に起因しており、特別に細工されたメッセージを受け取った場合に named の異常終了や、異常な動作が発生する可能性があります。 BIND 9では TSIG のローカルセッション鍵がデフォルトで設定されるため、TSIG を利用する設定をしていない場合も、対象となります。

ISC は、脆弱性 CVE-2020-8616、CVE-2020-8617 に対する深刻度を「高 (High)」と評価しています。脆弱性の詳細については、ISC の情報を確認してください。

Internet Systems Consortium, Inc. (ISC)
CVE-2020-8616: BIND does not sufficiently limit the number of fetches performed when processing referrals
https://kb.isc.org/docs/cve-2020-8616

Internet Systems Consortium, Inc. (ISC)
CVE-2020-8617: A logic error in code which checks TSIG validity can be used to trigger an assertion failure in tsig.c
https://kb.isc.org/docs/cve-2020-8617

なお、脆弱性 CVE-2020-8616 は、DNS リゾルバに対する攻撃手法 NXNSAttack として報告されており、BIND を含む、複数の DNS サーバソフトウエアに影響があるとされています。

影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」を参考に、修正済みバージョンの適用について検討してください。


II. 対象対象となる製品とバージョンは次のとおりです。

- BIND 9.16系 9.16.0 から 9.16.2 まで
- BIND 9.14系 9.14.0 から 9.14.11 まで
- BIND 9.11系 9.11.0 から 9.11.18 まで
- BIND Supported Preview Edition 9.9.3-S1 から 9.11.18-S1 まで

なお、既にサポートが終了している BIND 9.10系以前や 9.12系、9.13系、9.15系および開発版の 9.17系についても本脆弱性の影響を受けるとのことです。

ディストリビュータが提供している BIND をお使いの場合は、使用中のディストリビュータなどの情報を参照してください。


III. 対策ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。また、今後各ディストリビュータなどからも、修正済みのバージョンが提供されると思われますので、十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。

- BIND 9.16.3
- BIND 9.14.12
- BIND 9.11.19
- BIND Supported Preview Edition version 9.11.19-S1


IV. 参考情報
株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(パフォーマンスの低下・リフレクション攻撃の踏み台化)について(CVE-2020-8616) - バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2020-05-20-bind9-vuln-processing-referrals.html

株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止・異常な動作)について(CVE-2020-8617) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2020-05-20-bind9-vuln-tsig.html

Tel Aviv University
NXNSAttack
http://www.nxnsattack.com/

Internet Systems Consortium, Inc. (ISC)
CVE-2020-8617: FAQ and Supplemental Information
https://kb.isc.org/docs/cve-2020-8617-faq-and-supplemental-information

Internet Systems Consortium, Inc. (ISC)
ISC is releasing updated versions of BIND 9 to address two newly-discovered security vulnerabilities
https://www.isc.org/blogs/bind9-vulnerabilities-2020-05/

Internet Systems Consortium, Inc. (ISC)
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/docs/aa-00913


今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp
Topへ
最新情報(RSSメーリングリストTwitter