公開日:2020/05/20 最終更新日:2020/05/20

JVNVU#92065932
ISC BIND 9 に複数の脆弱性
緊急

概要

ISC (Internet Systems Consortium) が提供する BIND には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2020-8616、CVE-2020-8617 ともに、以下のバージョンが影響を受けます。

  • BIND 9.16.0 から 9.16.2
  • BIND 9.14.0 から 9.14.11
  • BIND 9.12.0 から 9.12.4-P2
  • BIND 9.11.0 から 9.11.18
  • BIND Supported Preview Edition 9.9.3-S1 から 9.11.18-S1 まで
なお、開発版の BIND 9.13 系、9.15 系、9.17 系、すでにサポートが終了している BIND 9.0 系から 9.10 系、9.10-S 系、9.12 系、9.13 系も影響を受けます。

詳細情報

ISC (Internet Systems Consortium) が提供する BIND には、複数の脆弱性が存在します。

  • DNS の名前解決動作の制御が不十分 - CVE-2020-8616
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H/E:F/RL:O/RC:C 基本値: 8.0
  • tsig.c でアサーションエラーが発生する - CVE-2020-8617
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:F/RL:O/RC:C 基本値: 7.0

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 細工された委任情報を処理することによって、サービス運用妨害 (DoS) 攻撃を受けたり、他のサーバに対するサービス運用妨害 (DoS) 攻撃に使用される - CVE-2020-8616
  • 細工された TSIG レコードを処理することによって、サービス運用妨害 (DoS) 攻撃を受ける - CVE-2020-8617

対策方法

アップデートする

開発者が提供する情報をもとに、使用しているバージョンの最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。
  • BIND 9.16.3
  • BIND 9.14.12
  • BIND 9.11.19
  • BIND Supported Preview Edition 9.11.19-S1

ベンダ情報

ベンダ リンク
Internet Systems Consortium CVE-2020-8616: BIND does not sufficiently limit the number of fetches performed when processing referrals
CVE-2020-8617: A logic error in code which checks TSIG validity can be used to trigger an assertion failure in tsig.c

参考情報

  1. NXNSAttack
  2. 日本レジストリサービス (JPRS)
    (緊急)BIND 9.xの脆弱性(パフォーマンスの低下・リフレクション攻撃の 踏み台化)について(CVE-2020-8616
  3. 日本レジストリサービス (JPRS)
    (緊急)BIND 9.xの脆弱性(DNSサービスの停止・異常な動作)について (CVE-2020-8617)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-8616
CVE-2020-8617
JVN iPedia