BIND 9における複数の脆弱性について(2021年4月)(2021.4.29更新)

BIND 9における複数の脆弱性について,一般社団法人日本ネットワークインフォメーションセンターより情報提供がありましたのでお知らせします.

	  
	        		                             2021年4月29日

	        ネームサーバ管理者の方々へ


	        	                    一般社団法人日本ネットワークインフォメーションセンター


	        	             BIND 9における複数の脆弱性について(2021年4月)


	        	2021年4月28日(現地時間)、複数のバージョンのBIND 9に存在する、 三つの
	        	脆弱性の情報がISC (Internet Systems Consortium)から公開されました。
	        	それぞれの脆弱性の内容は次の通りです。

	        	1. IXFRの不具合によりnamedが予期せず停止するもの
	        	2. DNAMEレコードへの応答の際に、DNAME自身の名前解決に失敗しアサーショ
	        	   ンチェックが失敗するもの
	        	3. BINDのGSSAPIネゴシエーション機能の脆弱性に対してバッファオーバーフ
	        	   ロー攻撃の標的となる可能性があるもの(第二報)

	        	ご参考までに、アナウンスの原文へのリンクを以下に掲載します。管理者の
	        	皆様におかれましては、ネームサーバソフトウェアのご確認など適切な処置
	        	をお願いいたします。

	     		                記


	        	□ CVE-2021-25214: IXFRの不具合によりnamedが予期せず停止する

	        	  IXFR(Incremental zone transfers)は、サーバ間のゾーン転送において差
	        	  分転送を行う機能です。このIXFRを行う際に、転送するデータ中にゾーン
	        	  頂点以外のownerを持つSOAレコードがあった場合、ゾーンを受信する側の
	        	  namedがデータベースから当該のSOAレコードを誤って削除してしまう可能
	        	  性があります。これにより、そのゾーンに対して次にSOAのrefreshクエリ
	        	  を実行した際に、アサーションに失敗しnamedが停止します。


	        	□ CVE-2021-25215: DNAMEレコードへの応答の際に、 DNAME自身の名前解決
	        	   に失敗しアサーションチェックが失敗することがある

	        	  DNAMEレコードは、DNSにおける名前空間の一部分を別のツリーへリダイレ
	        	  クトできるようにする機能を持ったレコードであり、 RFC6672で標準化さ
	        	  れています。

	        	  namedにはこのDNAMEレコードを処理する過程に不具合があるため、同じ
	        	  RRsetをANSWERセクションに2回以上追加しようとする可能性があります。
	        	  これにより、BINDのアサーションチェックが失敗します。

	        	  DNAMEレコードは、権威サーバとキャッシュサーバの両方で用いられます。
	        	  権威サーバの場合、 ゾーンデータベース中にDNAMEレコードが含まれてい
	        	  ると脆弱性の発生要因となる可能性があります。キャッシュサーバの場合、
	        	  名前解決中に権威サーバからDNAMEレコードを受け取る可能性があります。


	        	□ CVE-2021-25216: BINDのGSSAPIネゴシエーション機能の脆弱性に対して
	        	   バッファオーバーフロー攻撃の標的となる可能性がある(第二報)

	        	  GSS-TSIGはTSIGプロトコルの拡張であり、通信の正しさを検証するために
	        	  使用されます。また、GSS-TSIGのインタフェースとして使用されるネゴシ
	        	  エーションメカニズムにはSPNEGOというものがあります。このSPNEGOの実
	        	  装に、バッファオーバーフロー攻撃が成功する可能性のある脆弱性があり
	        	  ます。

	        	  デフォルトの設定は脆弱ではありませんが、 GSS-TSIG機能に関する
	        	  tkey-gssapi-keytabまたはtkey-gssapi-credentialオプションが有効な場
	        	  合に脆弱となります。ただし、GSS-TSIGは、BINDとSambaとの統合環境や、
	        	  BINDとActive Directoryのドメインコントローラを組み合わせた環境でよ
	        	  く使用されるため、注意が必要です。

	        	  SPNEGOの標準的な実装としてはMITおよびHeimdalのKerberosライブラリが
	        	  あり、幅広いOS環境でサポートされています。ISCは、ISCによる実装は不
	        	  要かつ時代遅れであると判断しました。

	        	  そのため、2021年4月にリリースされるBIND 9.11および9.16からISCによ
	        	  るSPNEGO実装が削除されることになりました(BIND 9.17はすでに削除され
	        	  ています)。


	        	□ 修正されたバージョンとダウンロードページ


	        	    BIND 9.11.31
	        	    BIND 9.16.15
	        	    BIND 9.17.12 (CVE-2021-25216 を除く)

	        	    BIND 9.11.31-S1
	        	    BIND 9.16.15-S1

	        	    https://www.isc.org/download/


	        	□ ISCからのアナウンス

	        	   CVE-2021-25214: A broken inbound incremental zone update (IXFR)
	        	   can cause named to terminate unexpectedly   
	        	   https://kb.isc.org/docs/cve-2021-25214

	        	   CVE-2021-25215: An assertion check can fail while answering
	        	   queries for DNAME records that require the DNAME to be processed
	        	   to resolve itself
	        	   https://kb.isc.org/docs/cve-2021-25215

	        	   CVE-2021-25216: A second vulnerability in BIND's GSSAPI security
	        	   policy negotiation can be targeted by a buffer overflow attack -
	        	   Security Advisories
	        	   https://kb.isc.org/docs/cve-2021-25216

	        	                                       以上