JPCERT コーディネーションセンター

ISC BIND 9の脆弱性(CVE-2020-8625)に関する注意喚起

各位

JPCERT-AT-2021-0010
JPCERT/CC
2021-02-18

JPCERT/CC Alert 2021-02-18


ISC BIND 9の脆弱性(CVE-2020-8625)に関する注意喚起

https://www.jpcert.or.jp/at/2021/at210010.html


I. 概要ISC BIND 9には、SPNEGO実装におけるバッファーオーバーフローの脆弱性(CVE-2020-8625)があります。SPNEGOは、GSS-TSIGに基づく鍵交換で使用されるGSS-APIにおいて認証メカニズムを提供しています。本脆弱性が悪用されると、遠隔の第三者がサービス運用妨害(DoS)などを引き起こす可能性があります。

ISCは、本脆弱性に対する深刻度を「高(High)」と評価しています。脆弱性の詳細については、ISCの情報を確認してください。

Internet Systems Consortium, Inc. (ISC)
CVE-2020-8625: A vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack
https://kb.isc.org/docs/cve-2020-8625

影響を受けるバージョンのISC BIND 9を運用している場合は、「III.対策」を参考に修正済みバージョンの適用について検討してください。


II. 対象対象となる製品とバージョンは次のとおりです。

- BIND 9.16系9.16.0から9.16.11まで
- BIND 9.11系9.11.0から9.11.27まで
- BIND 9 Supported Preview Edition 9.16.8-S1から9.16.11-S1まで
- BIND 9 Supported Preview Edition 9.11.3-S1から9.11.27-S1まで

設定ファイルにおいて、GSS-APIに関するオプション(tkey-gssapi-keytabまたはtkey-gssapi-credential)を指定している場合に対象となります。なお、すでにサポートが終了しているBIND 9.10系以前や9.12系から9.15系まで、および開発版の9.17系についても影響を受けるとのことです。

ディストリビューターが提供しているBINDをお使いの場合は、使用中のディストリビューターなどの情報を参照してください。


III. 対策ISCから脆弱性を修正したバージョンのISC BIND 9が公開されています。また、今後各ディストリビューターなどからも、修正済みのバージョンが提供されると思われるため、十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。

- BIND 9.16.12
- BIND 9.11.28
- BIND 9 Supported Preview Edition 9.16.12-S1
- BIND 9 Supported Preview Edition 9.11.28-S1


IV. 参考情報
株式会社日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止・リモートコード実行)について(CVE-2020-8625)- GSS-TSIGが有効に設定されている場合のみ対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2021-02-18-bind9-vuln-gsstsig.html

Internet Systems Consortium, Inc. (ISC)
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/docs/aa-00913


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。

==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
Topへ
最新情報(RSSメーリングリストTwitter