BIND 9における脆弱性について(2021年8月)(2021.8.19更新)

BIND 9における脆弱性について,一般社団法人日本ネットワークインフォメーションセンターより情報提供がありましたのでお知らせします.

                                  2021年8月19日

    ネームサーバ管理者の方々へ

                          一般社団法人日本ネットワークインフォメーションセンター

	      	               BIND 9における脆弱性について(2021年8月)


	      	 2021年8月18日(現地時間)、複数のバージョンのBIND 9に存在する脆弱性の
	      	 情報がISC (Internet Systems Consortium)から公開されました。

	      	 影響のあるバージョンは BIND 9.16.19、9.17.16、および 9.16.19-S1 です。

	      	 ご参考までに、アナウンスの原文へのリンクを以下に掲載します。管理者の
	      	 皆様におかれましては、ネームサーバソフトウェアのご確認など適切な処置
	      	 をお願いいたします。

	      	                                      記

	      	 □ CVE-2021-25218: BIND 9.16.19 および 9.17.16 において RRL が使用さ
	      	    れている場合、UDP フラグメンテーションが発生すると厳格すぎるアサー
	      	    ションチェックが発生する

	      	 □ 概要

	      	 named が使用しているネットワークインタフェースの MTU (maximum
	      	 transmission unit) よりも大きい UDP 応答を試み、かつ RRL
	      	 (response-rate limiting) が有効な場合、アサーションが発生し named プ
	      	 ロセスが終了します。

	      	 named が MTU よりも大きな応答をする場合は以下の二つが挙げられます。

	      	 ・ named.conf において max-udp-size オプションをインタフェースの MTU
	      	    よりも大きな値を設定している

	      	 ・ Path MTU discovery (PMTUD) が有効になっており max-udp-size よりも
	      	    小さな値を受け付ける

	      	 □ 回避策

	      	 ビルトインの CHAOS クラスを含め、すべての "view" において RRL 機能を
	      	 無効にする。

	      	 □ 修正されたバージョンとダウンロードページ

	      	     BIND 9.16.20
	      	     BIND 9.17.17
	      	     BIND 9.16.20-S1

	      	     https://www.isc.org/download/

	      	 □ ISCからのアナウンス

	      	   CVE-2021-25218: A too-strict assertion check could be triggered
	      	   when responses in BIND 9.16.19 and 9.17.16 require UDP
	      	   fragmentation if RRL is in use
	      	   https://kb.isc.org/docs/cve-2021-25218

	      	 □ 参考情報

	      	   * JPRS

	      	     (緊急)BIND 9.16.19の脆弱性(DNSサービスの停止)について
	      	     (CVE-2021-25218)
	      	     https://jprs.jp/tech/security/2021-08-19-bind9-vuln-rrl.html

	      	   * JPCERT/CC

	      	     ISC BIND 9の脆弱性(CVE-2021-25218)に関する注意喚起
	      	     https://www.jpcert.or.jp/at/2021/at210035.html

                                        以上