公開日:2021/04/30 最終更新日:2021/04/30

JVNVU#94179101
ISC BIND における複数の脆弱性

概要

ISC (Internet Systems Consortium) が提供する BIND には、複数の脆弱性が存在します。

影響を受けるシステム

  • ​CVE-2021-25214
    • BIND 9.8.5 から 9.8.8
    • BIND 9.9.3 から 9.11.29
    • BIND 9.12.0 から 9.16.13
    • BIND 9.9.3-S1 から 9.11.29-S1 (BIND 9 Supported Preview Edition)
    • BIND 9.16.8-S1 から 9.16.13-S1 (BIND 9 Supported Preview Edition)
    • BIND 9.17.0 から 9.17.11 (BIND 9.17 development branch)
  • CVE-2021-25215
    • BIND 9.0.0 から 9.11.29
    • BIND 9.12.0 から 9.16.13
    • BIND 9.9.3-S1 から 9.11.29-S1 (BIND 9 Supported Preview Edition)
    • BIND 9.16.8-S1 から 9.16.13-S1 of (BIND 9 Supported Preview Edition)
    • BIND 9.17.0 から 9.17.11 (BIND 9.17 development branch)
  • CVE-2021-25216
    • BIND 9.5.0 から 9.11.29
    • BIND 9.12.0 から 9.16.13
    • BIND 9.11.3-S1 から 9.11.29-S1 (BIND 9 Supported Preview Edition)
    • BIND 9.16.8-S1 から 9.16.13-S1 (BIND 9 Supported Preview Edition)
    • BIND 9.17.0 から 9.17.1 (BIND 9.17 development branch)
※ CVE-2021-25216 については、named の設定ファイルで tkey-gssapi-keytab または tkey-gssapi-credential オプションが明示的に指定されている場合にのみ影響が生じます。Samba に統合された BIND や Active Directory のドメインコントローラに統合された環境では、左記の設定が用いられている可能性がありますので注意してください。
 

詳細情報

ISC (Internet Systems Consortium) が提供する BIND には、次の複数の脆弱性が存在します。

  • IXFR によるゾーン転送時に、セカンダリサーバにおいて SOA 情報が欠落しアサーションエラーが発生する - CVE-2021-25214
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H 基本値: 6.5
  • DNAME レコードの処理時にアサーションエラーが発生する - CVE-2021-25215
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
  • GSS-TSIG による認証処理時に、GSS-API で用いられる SPNEGO 実装の不備によりバッファオーバーフローが発生する - CVE-2021-25216
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 8.1 (32-bit アーキテクチャの場合)
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H 基本値: 7.4 (64-bit アーキテクチャの場合)

想定される影響

次のような影響を受けることが想定されます。

  • 不正な形式の IXFR クエリを受信すると、セカンダリサーバ側のゾーンデータから当該 SOA レコードが削除され、次回の SOA レコード更新時に named が異常停止する - CVE-2021-25214
  • 特別に細工された DNAME レコードを処理すると、named が異常停止する。named の異常停止は当該レコードを処理する権威サーバとフルサービスリゾルバ双方で発生する可能性がある - CVE-2021-25215
  • GSS-TSIG による認証時に、バッファオーバーフローが発生する - CVE-2021-25216
    • ​32-bit アーキテクチャ環境では、named が異常停止させられたり、任意のコード実行が行われたりする可能性がある
    • 64-bit アーキテクチャ環境では、named が異常停止させられる可能性がある

対策方法

アップデートする
開発者が提供する以下のパッチバージョンにアップデートしてください。

  • CVE-2021-25214, CVE-2021-25215
    • BIND 9.11.31
    • BIND 9.16.15
    • BIND 9.17.12
    • BIND 9.11.31-S1
    • BIND 9.16.15-S1
  • CVE-2021-25216
    • BIND 9.11.31
    • BIND 9.16.15
    • BIND 9.11.31-S1
    • BIND 9.16.15-S1

ワークアラウンドを適用する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
  • CVE-2021-25214
    • 設定ファイルにおいて request-ixfr no; を指定することで、IXFR を無効にする
  • CVE-2021-25216
    • GSS-TSIG を無効にし、代替として他の認証方法を採用する
    • 一部のプラットフォームでは、BINDのビルド時に confugure スクリプトを実行する際のオプションとして --disable-isc-spnego を指定することで、SPNEGO を無効化することが可能

なお、開発者は CVE-2021-25216 への対応として、 2021月4月からリリースする BIND 9.11系 および 9.16系 について、 ISC SPNEGO 実装を削除すると発表しています。

ベンダ情報

ベンダ リンク
Internet Systems Consortium, Inc (ISC) CVE-2021-25214: A broken inbound incremental zone update (IXFR) can cause named to terminate unexpectedly
CVE-2021-25215: An assertion check can fail while answering queries for DNAME records that require the DNAME to be processed to resolve itself
CVE-2021-25216: A second vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack

参考情報

  1. JPRS
    BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2021-25214) - セカンダリサーバーのみ対象、バージョンアップを推奨 -
  2. JPRS
    (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2021-25215) - バージョンアップを強く推奨 -
  3. JPRS
    (緊急)BIND 9.xの脆弱性(DNSサービスの停止・リモートコード実行) について(CVE-2021-25216) - GSS-TSIGが有効に設定されている場合のみ対象、バージョンアップを強く推奨 -
  4. JPNIC
    BIND 9における複数の脆弱性について(2021年4月)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2021-0021
ISC BIND 9の複数の脆弱性に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia