過去のセキュリティ情報

Kyutech CSIRT Top

BIND 9における複数の脆弱性について(2020年5月)(2020.5.20更新)

BIND 9における複数の脆弱性について，一般社団法人日本ネットワークインフォメーションセンターより情報提供がありましたのでお知らせします.　BIND9 を利用しているネームサーバの管理者は脆弱性の内容をご確認頂き，必要に応じて適切な処置を頂きますようお願いします.

		 	         　　　　　　　　　　　　　　　　　　　　　　　　　　　　　2020年5月20日

		 	         ネームサーバ管理者の方々へ

		 	                         　　　　一般社団法人日本ネットワークインフォメーションセンター


		 	                    　　BIND 9における複数の脆弱性について(2020年5月)

		 	         2020年5月19日(現地時間)、複数のバージョンのBIND 9に存在する脆弱性の情
		 	         報がISC (Internet Systems Consortium)から公開されました。

		 	         脆弱性の一つ目は、委任をたどる回数を制限していないため、名前解決の過程
		 	         でリゾルバを高負荷にさせ、場合によってはDNS増幅攻撃に利用される可能性
		 	         があるというものです。なお、この脆弱性はBINDに限定されず、他のサーバ実
		 	         装でも存在することが報告されています。

		 	         脆弱性の二つ目は、TSIG鍵の検証コードに誤りがあり、攻撃者が細工したメッ
		 	         セージを送ることにより例外を発生させBINDを停止させることができるという
		 	         ものです。

		 	         ご参考までに、アナウンスの原文へのリンクを以下に掲載します。管理者の
		 	         皆さまにおかれましては、ネームサーバソフトウェアのご確認など適切な処
		 	         置をお願いいたします。

		 	                                         　　　　　　記

		 	         □ CVE-2020-8616: BIND が参照を処理する過程において適切に制限をしてい
		 	         ない

		 	         DNSの名前解決においては、名前空間を探索する際、権威サーバに示された参
		 	         照(referral)を適切に処理する必要があります。しかしBIND以外の実装を含め、
		 	         その参照を処理する際の問い合わせ数に適切な制限をしていません。

		 	         そのため、悪意のある攻撃者が細工した問い合わせを行うことによって、
		 	         BINDが参照を処理する際に多数の問い合わせを行わせることが可能となり、
		 	         攻撃者はサーバを高負荷にさせたりDNS増幅攻撃(DNS amplification attack)
		 	         に利用したりすることができます。

		 	         □ CVE-2020-8617: TSIG鍵の正当性確認の処理に誤りがあるため例外を発生
		 	         させることができる

		 	         TSIG リソースレコードのあるメッセージの正当性確認においてBINDのコード
		 	         中に誤りがあるため、攻撃者が細工したメッセージを送ることによりBINDを
		 	         停止させることができ、サービス拒否(DoS)攻撃が可能となるものです。

		 	         攻撃者がTSIG鍵の名前を知っている(あるいは推測可能)場合、攻撃者はBIND
		 	         を不安定な状態にできる可能性があります。

		 	         BINDはデフォルトでセッションキーを設定しているため、意図せずとも影響
		 	         を受ける可能性が十分にあります。

		 	         □ 影響を受けるバージョン

		 	             9.0.0 ～ 9.11.18
		 	             9.12.0 ～ 9.12.4-P2
		 	             9.14.0 ～ 9.14.11
		 	             9.16.0 ～ 9.16.2
		 	             9.13, 9.15, 9.17 の開発版系列
		 	             9.9.3-S1 ～ 9.11.18-S1 のサポート版系列

		 	         □ 修正されたバージョンとダウンロードページ

		 	             9.11.19
		 	             9.14.12
		 	             9.16.3
		 	             9.11.19-S1 (サポート版)

		 	             https://www.isc.org/downloads

		 	         □ ISCからのアナウンス

		 	            CVE-2020-8616: BIND does not sufficiently limit the number of fetches
		 	            performed when processing referrals
		 	            https://kb.isc.org/docs/cve-2020-8616

		 	            CVE-2020-8617: A logic error in code which checks TSIG validity can
		 	            be used to trigger an assertion failure in tsig.c
		 	            https://kb.isc.org/docs/cve-2020-8617

		 	         □ 参考

		 	         * NXNSAttack

		 	           CVE-2020-8616 の発見者による情報サイト
		 	           http://www.nxnsattack.com/

		 	         * JPRS

		 	           ■（緊急）BIND 9.xの脆弱性（パフォーマンスの低下・リフレクション攻撃の
		 	              踏み台化）について（CVE-2020-8616） - バージョンアップを強く推奨 -
		 	              https://jprs.jp/tech/security/2020-05-20-bind9-vuln-processing-referrals.html

		 	           ■（緊急）BIND 9.xの脆弱性（DNSサービスの停止・異常な動作）について
		 	             （CVE-2020-8617） - フルリゾルバー（キャッシュDNSサーバー）／
		 	              権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -
		 	              https://jprs.jp/tech/security/2020-05-20-bind9-vuln-tsig.html

	

Kyutech CSIRT

© 2017 Kyutech Computer Security Incident Response Team