BIND 9における脆弱性について(2021年2月)(2021.2.18更新)
BIND 9における脆弱性について,一般社団法人日本ネットワークインフォメーションセンターより情報提供がありましたのでお知らせします.
2021年2月18日 ネームサーバ管理者の方々へ 一般社団法人日本ネットワークインフォメーションセンター BIND 9における脆弱性について(2021年2月) 2021年2月17日(現地時間)、BIND 9に存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。 GSS-TSIG 機能に脆弱性があり、機能が有効な場合リモートからバッファオー バーフロー攻撃が成功する可能性があります。 ご参考までに、アナウンスの原文へのリンクを以下に掲載します。管理者の 皆様におかれましては、ネームサーバソフトウェアのご確認など適切な処置 をお願いいたします。 記 □ CVE-2020-8625: BIND の GSSAPI ネゴシエーション機能の脆弱性に対し てバッファオーバーフロー攻撃の標的となる可能性がある ○ 概要 GSS-TSIG は TSIG プロトコルの拡張であり、通信の正しさを検証するため に使用されます。また、GSS-TSIG のインタフェースとして使用されるネゴ シエーションメカニズムには SPNEGO というものがあります。この SPNEGO の実装に、バッファオーバーフロー攻撃が成功する可能性のある脆弱性があ ることが判明しました。 デフォルトの設定は脆弱ではありませんが、GSS-TSIG 機能に関する tkey-gssapi-keytab または tkey-gssapi-credentialconfiguration オプショ ンが有効な場合のみに脆弱となります。ただし、GSS-TSIG は、BIND と Samba との統合環境や、BIND と Active Directory のドメインコントローラを組み 合わせた環境でよく使用されるため、注意が必要です。 脆弱性への攻撃に成功した場合、named プロセスのクラッシュが予想されま す。しかし、リモートからのコード実行は理論的には可能ではあるものの、 確認されていません。 ○ 回避策 この脆弱性は、GSS-TSIG を使用するように設定された場合にのみ影響があ ります。認証に別のメカニズムを使用できる場合には、GSS-TSIG 機能を無 効にすることで、この脆弱性を回避できます。 ○ 影響を受けるバージョン 9.5.0 - 9.11.27 9.12.0 - 9.16.11 9.17.0 - 9.17.1 9.11.3-S1 - 9.11.27-S1 9.16.8-S1 - 9.16.11-S1 ○ 修正されたバージョンとダウンロードページ 9.11.28 9.16.12 9.11.28-S1 9.16.12-S1 https://www.isc.org/download/ □ ISCからのアナウンス CVE-2020-8625: A vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack - Security Advisories https://kb.isc.org/docs/cve-2020-8625 □ 参考 * CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8625 * JPRS (緊急)BIND 9.xの脆弱性(DNSサービスの停止・リモートコード実行) について(CVE-2020-8625) https://jprs.jp/tech/security/2021-02-18-bind9-vuln-gsstsig.html * JPCERT/CC ISC BIND 9の脆弱性(CVE-2020-8625)に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210010.html
