ISC BIND 9 に対する複数の脆弱性に関する注意喚起

　JPCERT/CCからの「ISC BIND 9 に対する複数の脆弱性に関する注意喚起」をお知らせします。

各位

JPCERT-AT-2020-0035
JPCERT/CC
2020-08-21

<<< JPCERT/CC Alert 2020-08-21 >>>
ISC BIND 9 に対する複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200035.html

I.概要

ISC BIND 9 には、複数の脆弱性があります。脆弱性が悪用されると、遠隔の第三者によりサービス運用妨害 (DoS) などが引き起こされる可能性があります。

ISC は、脆弱性 CVE-2020-8620、CVE-2020-8621、CVE-2020-8622、CVE-2020-8623 に対する深刻度を「中 (Medium)」、CVE-2020-8624 に対する深刻度を「低 (Low)」と評価しています。脆弱性の詳細については、ISC の情報を確認してください。

Internet Systems Consortium, Inc. (ISC)

CVE-2020-8620: A specially crafted large TCP payload can trigger an assertion failure in tcpdns.c
https://kb.isc.org/docs/cve-2020-8620

Internet Systems Consortium, Inc. (ISC)

CVE-2020-8621: Attempting QNAME minimization after forwarding can lead to an assertion failure in resolver.c
https://kb.isc.org/docs/cve-2020-8621

Internet Systems Consortium, Inc. (ISC)

CVE-2020-8622: A truncated TSIG response can lead to an assertion failure
https://kb.isc.org/docs/cve-2020-8622

Internet Systems Consortium, Inc. (ISC)

CVE-2020-8623: A flaw in native PKCS#11 code can lead to a remotely triggerable assertion failure in pk11.c
https://kb.isc.org/docs/cve-2020-8623

Internet Systems Consortium, Inc. (ISC)

CVE-2020-8624: update-policy rules of type “subdomain” are enforced incorrectly
https://kb.isc.org/docs/cve-2020-8624

影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III.対策」を参考に修正済みバージョンへの適用について検討してください。

II.対象

対象となる製品とバージョンは次のとおりです。

– CVE-2020-8620

– BIND 9.16系 9.16.0 から 9.16.5 まで

– CVE-2020-8621

– BIND 9.16系 9.16.0 から 9.16.5 まで
– BIND 9.14系 9.14.0 から 9.14.12 まで

– CVE-2020-8622

– BIND 9.16系 9.16.0 から 9.16.5 まで
– BIND 9.14系 9.14.0 から 9.14.12 まで
– BIND 9.11系 9.11.0 から 9.11.21 まで
– BIND 9 Supported Preview Edition 9.9.3-S1 から 9.11.21-S1 まで

– CVE-2020-8623

– BIND 9.16系 9.16.0 から 9.16.5 まで
– BIND 9.14系 9.14.0 から 9.14.12 まで
– BIND 9.11系 9.11.0 から 9.11.21 まで
– BIND 9 Supported Preview Edition 9.10.5-S1 から 9.11.21-S1 まで

– CVE-2020-8624

– BIND 9.16系 9.16.0 から 9.16.5 まで
– BIND 9.14系 9.14.0 から 9.14.12 まで
– BIND 9.11系 9.11.0 から 9.11.21 まで
– BIND 9 Supported Preview Edition 9.9.12-S1 から 9.9.13-S1 まで
– BIND 9 Supported Preview Edition 9.11.3-S1 から 9.11.21-S1 まで

なお既にサポートが終了している BIND 9.10系以前や 9.12系、9.13系、9.15系および開発版の 9.17系についても影響を受ける脆弱性があるとのことです。

ディストリビュータが提供している BIND をお使いの場合は、使用中のディストリビュータなどの情報を参照してください。

III.対策

ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。また、今後各ディストリビュータなどからも、修正済みのバージョンが提供されると思われますので、十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。

– BIND 9.11.22

– BIND 9.16.6
– BIND 9.17.4
– BIND Supported Preview Edition 9.11.22-S1

IV. 参考情報

株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2020-8620）- バージョンアップを推奨 –
https://jprs.jp/tech/security/2020-08-21-bind9-vuln-libuv.html

株式会社日本レジストリサービス (JPRS)

BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2020-8621）- バージョンアップを推奨 –
https://jprs.jp/tech/security/2020-08-21-bind9-vuln-forwarding.html

株式会社日本レジストリサービス (JPRS)

BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2020-8622）- バージョンアップを推奨 –
https://jprs.jp/tech/security/2020-08-21-bind9-vuln-tsig.html

株式会社日本レジストリサービス (JPRS)

BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2020-8623）- ビルド時に「–enable-native-pkcs11」を指定した場合にのみ対象、バージョンアップを推奨 –
https://jprs.jp/tech/security/2020-08-21-bind9-vuln-pkcs11.html

株式会社日本レジストリサービス (JPRS)

BIND 9.xの脆弱性（サービス提供者が意図しないDynamic Updateの許可）について（CVE-2020-8624）- バージョンアップを推奨 –
https://jprs.jp/tech/security/2020-08-21-bind9-vuln-updatepolicy.html

Internet Systems Consortium, Inc. (ISC)

BIND 9 Security Vulnerability Matrix
https://kb.isc.org/docs/aa-00913

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email:
https://www.jpcert.or.jp/