過去のセキュリティ情報

Kyutech CSIRT Top

BIND 9における脆弱性について(2022年3月)(2022.3.17更新)

BIND 9における脆弱性について,一般社団法人日本ネットワークインフォメーションセンターより情報提供がありましたのでお知らせします.

	  　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　2022年3月17日
	  ネームサーバ管理者の方々へ

          　　　　　　　　　　　　　　一般社団法人日本ネットワークインフォメーションセンター


          　　　　　　　　　BIND 9における脆弱性について(2022年3月)

      	  	  2022年3月16日(現地時間)、複数のバージョンのBIND 9に存在する脆弱性の
      	  	  情報がISC (Internet Systems Consortium)から公開されました。

      	  	  ご参考までに、アナウンスの原文へのリンクを以下に掲載します。管理者の
      	  	  皆さまにおかれましては、ネームサーバソフトウェアのご確認など適切な処
      	  	  置をお願いいたします。

      	      　　　　　　　　　　　　　　　　　　記

      	  	  □ DNSフォワーダーとして利用しているときにキャッシュポイズニングが発生
      	  	  する

      	  	  BINDをフォワーダーとして利用しているときに、動作の正しくないNSレコード
      	  	  を受け取りそれを named がキャッシュしてしまうことで間違った応答を返す
      	  	  可能性があります。

      	  	  □ 細工したTCPパケットによりDoSが発生する

      	  	  細工したTCPパケットを送ることでBINDに対してネットワーク接続をできなく
      	  	  させられます。この脆弱性は keep-response-order オプションを有効にして
      	  	  いる場合に影響を受けます。

      	  	  □ synth-from-dnssecが有効な場合DNAMEの問い合わせでnamedが不正終了する
      	  	  (BIND 9.18.0のみ)

      	  	  BIND 9.18 において、RFC 8198 (Aggressive Use of DNSSEC-Validated) のリ
      	  	  ファクタリングが行われました。その際、synth-from-dnssec 機能がデフォル
      	  	  トで有効になりましたが実装に誤りがあり、特定のクエリを受けるとINSISTに
      	  	  失敗しnamedが不正終了することがあります。本脆弱性は dnssec-validation
      	  	  と synth-from-dnssec オプションを有効にしている場合に影響があります。
      	  	  (デフォルトの設定では有効になっています)

      	  	  □ DSレコードの問い合わせの際に例外が発生する (BIND 9.18.0のみ)

      	  	  BIND 9.18 では "backstop lifetime timer" と呼ばれる仕組みが導入されま
      	  	  した。DSレコードの問い合わせ処理が規定の時間内に終了しないときに例外処
      	  	  理が発生するというものです。

      	  	  □ 修正されたバージョンとダウンロードページ

      	  	  BIND 9.11.37
      	  	  BIND 9.16.27
      	  	  BIND 9.18.1

      	  	  https://www.isc.org/download/

      	  	  □ ISCからのアナウンス

      	  	  CVE-2021-25220: DNS forwarders - cache poisoning vulnerability
      	  	  https://kb.isc.org/docs/cve-2021-25220

      	  	  CVE-2022-0396: DoS from specifically crafted TCP packets
      	  	  https://kb.isc.org/docs/cve-2022-0396

      	  	  CVE-2022-0635: DNAME insist with synth-from-dnssec enabled
      	  	  https://kb.isc.org/docs/cve-2022-0635

      	  	  CVE-2022-0667: Assertion failure on delayed DS lookup
      	  	  https://kb.isc.org/docs/cve-2022-0667

      	  	  □ 参考情報

      	  	  * JPRS

      	  	  BIND 9.xの脆弱性（キャッシュポイズニングの危険性）について
      	  	  （CVE-2021-25220）
      	  	  https://jprs.jp/tech/security/2022-03-17-bind9-vuln-forwarder.html

      	  	  BIND 9.xの脆弱性（システムリソースの過度な消費）について
      	  	  （CVE-2022-0396）
      	  	  https://jprs.jp/tech/security/2022-03-17-bind9-vuln-keep-response-order.html

      	  	 （緊急）BIND 9.18.0の脆弱性（DNSサービスの停止）について
      	  	  （CVE-2022-0635）
      	  	  https://jprs.jp/tech/security/2022-03-17-bind9-vuln-aggressiveuse.html

      	  	 （緊急）BIND 9.18.0の脆弱性（DNSサービスの停止）について
      	  	  （CVE-2022-0667）
      	  	　https://jprs.jp/tech/security/2022-03-17-bind9-vuln-dslookup.html

      	  	　* JPCERT/CC

      	  	　ISC BIND 9における複数の脆弱性について（2022年3月）
      	  	　https://www.jpcert.or.jp/newsflash/2022031701.html
　　　	  		  　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
	

Kyutech CSIRT

© 2017 Kyutech Computer Security Incident Response Team