Kyutech CSIRT

BIND 9における脆弱性について(2022年3月)(2022.3.17更新)

BIND 9における脆弱性について,一般社団法人日本ネットワークインフォメーションセンターより情報提供がありましたのでお知らせします.
	    　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　2022年3月17日
	    ネームサーバ管理者の方々へ

            　　　　　　　　　　　　　　一般社団法人日本ネットワークインフォメーションセンター


            　　　　　　　　　BIND 9における脆弱性について(2022年3月)

      	    2022年3月16日(現地時間)、複数のバージョンのBIND 9に存在する脆弱性の
      	    情報がISC (Internet Systems Consortium)から公開されました。

      	    ご参考までに、アナウンスの原文へのリンクを以下に掲載します。管理者の
      	    皆さまにおかれましては、ネームサーバソフトウェアのご確認など適切な処
      	    置をお願いいたします。

      	    　　　　　　　　　　　　　　　　　　記

      	    □ DNSフォワーダーとして利用しているときにキャッシュポイズニングが発生
      	    する

      	    BINDをフォワーダーとして利用しているときに、動作の正しくないNSレコード
      	    を受け取りそれを named がキャッシュしてしまうことで間違った応答を返す
      	    可能性があります。

      	    □ 細工したTCPパケットによりDoSが発生する

      	    細工したTCPパケットを送ることでBINDに対してネットワーク接続をできなく
      	    させられます。この脆弱性は keep-response-order オプションを有効にして
      	    いる場合に影響を受けます。

      	    □ synth-from-dnssecが有効な場合DNAMEの問い合わせでnamedが不正終了する
      	    (BIND 9.18.0のみ)

      	    BIND 9.18 において、RFC 8198 (Aggressive Use of DNSSEC-Validated) のリ
      	    ファクタリングが行われました。その際、synth-from-dnssec 機能がデフォル
      	    トで有効になりましたが実装に誤りがあり、特定のクエリを受けるとINSISTに
      	    失敗しnamedが不正終了することがあります。本脆弱性は dnssec-validation
      	    と synth-from-dnssec オプションを有効にしている場合に影響があります。
      	    (デフォルトの設定では有効になっています)

      	    □ DSレコードの問い合わせの際に例外が発生する (BIND 9.18.0のみ)

      	    BIND 9.18 では "backstop lifetime timer" と呼ばれる仕組みが導入されま
      	    した。DSレコードの問い合わせ処理が規定の時間内に終了しないときに例外処
      	    理が発生するというものです。

      	    □ 修正されたバージョンとダウンロードページ

      	    BIND 9.11.37
      	    BIND 9.16.27
      	    BIND 9.18.1

      	    https://www.isc.org/download/

      	    □ ISCからのアナウンス

      	    CVE-2021-25220: DNS forwarders - cache poisoning vulnerability
      	    https://kb.isc.org/docs/cve-2021-25220

      	    CVE-2022-0396: DoS from specifically crafted TCP packets
      	    https://kb.isc.org/docs/cve-2022-0396

      	    CVE-2022-0635: DNAME insist with synth-from-dnssec enabled
      	    https://kb.isc.org/docs/cve-2022-0635

      	    CVE-2022-0667: Assertion failure on delayed DS lookup
      	    https://kb.isc.org/docs/cve-2022-0667

      	    □ 参考情報

      	    * JPRS

      	    BIND 9.xの脆弱性（キャッシュポイズニングの危険性）について
      	    （CVE-2021-25220）
      	    https://jprs.jp/tech/security/2022-03-17-bind9-vuln-forwarder.html

      	    BIND 9.xの脆弱性（システムリソースの過度な消費）について
      	    （CVE-2022-0396）
      	    https://jprs.jp/tech/security/2022-03-17-bind9-vuln-keep-response-order.html

      	    （緊急）BIND 9.18.0の脆弱性（DNSサービスの停止）について
      	    （CVE-2022-0635）
      	    https://jprs.jp/tech/security/2022-03-17-bind9-vuln-aggressiveuse.html

      	    （緊急）BIND 9.18.0の脆弱性（DNSサービスの停止）について
      	    （CVE-2022-0667）
      	    　https://jprs.jp/tech/security/2022-03-17-bind9-vuln-dslookup.html

      	    　* JPCERT/CC

      	    　ISC BIND 9における複数の脆弱性について（2022年3月）
      	    　https://www.jpcert.or.jp/newsflash/2022031701.html