BIND 9における脆弱性について(2022年3月)(2022.3.17更新)
BIND 9における脆弱性について,一般社団法人日本ネットワークインフォメーションセンターより情報提供がありましたのでお知らせします.
2022年3月17日 ネームサーバ管理者の方々へ 一般社団法人日本ネットワークインフォメーションセンター BIND 9における脆弱性について(2022年3月) 2022年3月16日(現地時間)、複数のバージョンのBIND 9に存在する脆弱性の 情報がISC (Internet Systems Consortium)から公開されました。 ご参考までに、アナウンスの原文へのリンクを以下に掲載します。管理者の 皆さまにおかれましては、ネームサーバソフトウェアのご確認など適切な処 置をお願いいたします。 記 □ DNSフォワーダーとして利用しているときにキャッシュポイズニングが発生 する BINDをフォワーダーとして利用しているときに、動作の正しくないNSレコード を受け取りそれを named がキャッシュしてしまうことで間違った応答を返す 可能性があります。 □ 細工したTCPパケットによりDoSが発生する 細工したTCPパケットを送ることでBINDに対してネットワーク接続をできなく させられます。この脆弱性は keep-response-order オプションを有効にして いる場合に影響を受けます。 □ synth-from-dnssecが有効な場合DNAMEの問い合わせでnamedが不正終了する (BIND 9.18.0のみ) BIND 9.18 において、RFC 8198 (Aggressive Use of DNSSEC-Validated) のリ ファクタリングが行われました。その際、synth-from-dnssec 機能がデフォル トで有効になりましたが実装に誤りがあり、特定のクエリを受けるとINSISTに 失敗しnamedが不正終了することがあります。本脆弱性は dnssec-validation と synth-from-dnssec オプションを有効にしている場合に影響があります。 (デフォルトの設定では有効になっています) □ DSレコードの問い合わせの際に例外が発生する (BIND 9.18.0のみ) BIND 9.18 では "backstop lifetime timer" と呼ばれる仕組みが導入されま した。DSレコードの問い合わせ処理が規定の時間内に終了しないときに例外処 理が発生するというものです。 □ 修正されたバージョンとダウンロードページ BIND 9.11.37 BIND 9.16.27 BIND 9.18.1 https://www.isc.org/download/ □ ISCからのアナウンス CVE-2021-25220: DNS forwarders - cache poisoning vulnerability https://kb.isc.org/docs/cve-2021-25220 CVE-2022-0396: DoS from specifically crafted TCP packets https://kb.isc.org/docs/cve-2022-0396 CVE-2022-0635: DNAME insist with synth-from-dnssec enabled https://kb.isc.org/docs/cve-2022-0635 CVE-2022-0667: Assertion failure on delayed DS lookup https://kb.isc.org/docs/cve-2022-0667 □ 参考情報 * JPRS BIND 9.xの脆弱性(キャッシュポイズニングの危険性)について (CVE-2021-25220) https://jprs.jp/tech/security/2022-03-17-bind9-vuln-forwarder.html BIND 9.xの脆弱性(システムリソースの過度な消費)について (CVE-2022-0396) https://jprs.jp/tech/security/2022-03-17-bind9-vuln-keep-response-order.html (緊急)BIND 9.18.0の脆弱性(DNSサービスの停止)について (CVE-2022-0635) https://jprs.jp/tech/security/2022-03-17-bind9-vuln-aggressiveuse.html (緊急)BIND 9.18.0の脆弱性(DNSサービスの停止)について (CVE-2022-0667) https://jprs.jp/tech/security/2022-03-17-bind9-vuln-dslookup.html * JPCERT/CC ISC BIND 9における複数の脆弱性について(2022年3月) https://www.jpcert.or.jp/newsflash/2022031701.html