BIND 9における脆弱性について(2022年3月)(2022.3.17更新)

BIND 9における脆弱性について,一般社団法人日本ネットワークインフォメーションセンターより情報提供がありましたのでお知らせします.

	                                     2022年3月17日
	    ネームサーバ管理者の方々へ

                          一般社団法人日本ネットワークインフォメーションセンター


                     BIND 9における脆弱性について(2022年3月)

      	    2022年3月16日(現地時間)、複数のバージョンのBIND 9に存在する脆弱性の
      	    情報がISC (Internet Systems Consortium)から公開されました。

      	    ご参考までに、アナウンスの原文へのリンクを以下に掲載します。管理者の
      	    皆さまにおかれましては、ネームサーバソフトウェアのご確認など適切な処
      	    置をお願いいたします。

      	                      記

      	    □ DNSフォワーダーとして利用しているときにキャッシュポイズニングが発生
      	    する

      	    BINDをフォワーダーとして利用しているときに、動作の正しくないNSレコード
      	    を受け取りそれを named がキャッシュしてしまうことで間違った応答を返す
      	    可能性があります。

      	    □ 細工したTCPパケットによりDoSが発生する

      	    細工したTCPパケットを送ることでBINDに対してネットワーク接続をできなく
      	    させられます。この脆弱性は keep-response-order オプションを有効にして
      	    いる場合に影響を受けます。

      	    □ synth-from-dnssecが有効な場合DNAMEの問い合わせでnamedが不正終了する
      	    (BIND 9.18.0のみ)

      	    BIND 9.18 において、RFC 8198 (Aggressive Use of DNSSEC-Validated) のリ
      	    ファクタリングが行われました。その際、synth-from-dnssec 機能がデフォル
      	    トで有効になりましたが実装に誤りがあり、特定のクエリを受けるとINSISTに
      	    失敗しnamedが不正終了することがあります。本脆弱性は dnssec-validation
      	    と synth-from-dnssec オプションを有効にしている場合に影響があります。
      	    (デフォルトの設定では有効になっています)

      	    □ DSレコードの問い合わせの際に例外が発生する (BIND 9.18.0のみ)

      	    BIND 9.18 では "backstop lifetime timer" と呼ばれる仕組みが導入されま
      	    した。DSレコードの問い合わせ処理が規定の時間内に終了しないときに例外処
      	    理が発生するというものです。

      	    □ 修正されたバージョンとダウンロードページ

      	    BIND 9.11.37
      	    BIND 9.16.27
      	    BIND 9.18.1

      	    https://www.isc.org/download/

      	    □ ISCからのアナウンス

      	    CVE-2021-25220: DNS forwarders - cache poisoning vulnerability
      	    https://kb.isc.org/docs/cve-2021-25220

      	    CVE-2022-0396: DoS from specifically crafted TCP packets
      	    https://kb.isc.org/docs/cve-2022-0396

      	    CVE-2022-0635: DNAME insist with synth-from-dnssec enabled
      	    https://kb.isc.org/docs/cve-2022-0635

      	    CVE-2022-0667: Assertion failure on delayed DS lookup
      	    https://kb.isc.org/docs/cve-2022-0667

      	    □ 参考情報

      	    * JPRS

      	    BIND 9.xの脆弱性(キャッシュポイズニングの危険性)について
      	    (CVE-2021-25220)
      	    https://jprs.jp/tech/security/2022-03-17-bind9-vuln-forwarder.html

      	    BIND 9.xの脆弱性(システムリソースの過度な消費)について
      	    (CVE-2022-0396)
      	    https://jprs.jp/tech/security/2022-03-17-bind9-vuln-keep-response-order.html

      	    (緊急)BIND 9.18.0の脆弱性(DNSサービスの停止)について
      	    (CVE-2022-0635)
      	    https://jprs.jp/tech/security/2022-03-17-bind9-vuln-aggressiveuse.html

      	    (緊急)BIND 9.18.0の脆弱性(DNSサービスの停止)について
      	    (CVE-2022-0667)
      	     https://jprs.jp/tech/security/2022-03-17-bind9-vuln-dslookup.html

      	     * JPCERT/CC

      	     ISC BIND 9における複数の脆弱性について(2022年3月)
      	     https://www.jpcert.or.jp/newsflash/2022031701.html