ネームサーバ管理者の方々へ
一般社団法人日本ネットワークインフォメーションセンター
BIND 9における複数の脆弱性について(2020年5月)
2020年5月19日(現地時間)、 複数のバージョンのBIND 9に存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。
脆弱性の一つ目は、委任をたどる回数を制限していないため、 名前解決の過程でリゾルバを高負荷にさせ、 場合によってはDNS増幅攻撃に利用される可能性があるというものです。 なお、この脆弱性はBINDに限定されず、 他のサーバ実装でも存在することが報告されています。
脆弱性の二つ目は、TSIG鍵の検証コードに誤りがあり、 攻撃者が細工したメッセージを送ることにより例外を発生させBINDを停止させることができるというものです。
ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆さまにおかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。
記
CVE-2020-8616: BINDが参照を処理する過程において適切に制限をしていない
DNSの名前解決においては、名前空間を探索する際、 権威サーバに示された参照(referral)を適切に処理する必要があります。 しかしBIND以外の実装を含め、 その参照を処理する際の問い合わせ数に適切な制限をしていません。
そのため、悪意のある攻撃者が細工した問い合わせを行うことによって、 BINDが参照を処理する際に多数の問い合わせを行わせることが可能となり、 攻撃者はサーバを高負荷にさせたりDNS増幅攻撃(DNS amplification attack)に利用したりすることができます。
CVE-2020-8617: TSIG鍵の正当性確認の処理に誤りがあるため例外を発生させることができる
TSIGリソースレコードのあるメッセージの正当性確認においてBINDのコード中に誤りがあるため、 攻撃者が細工したメッセージを送ることによりBINDを停止させることができ、 サービス拒否(DoS)攻撃が可能となるものです。
攻撃者がTSIG鍵の名前を知っている(あるいは推測可能)場合、 攻撃者はBINDを不安定な状態にできる可能性があります。
BINDはデフォルトでセッションキーを設定しているため、 意図せずとも影響を受ける可能性が十分にあります。
影響を受けるバージョン
- 9.0.0 ~ 9.11.18
- 9.12.0 ~ 9.12.4-P2
- 9.14.0 ~ 9.14.11
- 9.16.0 ~ 9.16.2
- 9.13, 9.15, 9.17 の開発版系列
- 9.9.3-S1 ~ 9.11.18-S1 のサポート版系列
修正されたバージョンとダウンロードページ
- 9.11.19
- 9.14.12
- 9.16.3
- 9.11.19-S1 (サポート版)
ISCからのアナウンス
- CVE-2020-8616: BIND does not sufficiently limit the number of fetches performed when processing referrals
- https://kb.isc.org/docs/cve-2020-8616
- CVE-2020-8617: A logic error in code which checks TSIG validity can be used to trigger an assertion failure in tsig.c
- https://kb.isc.org/docs/cve-2020-8617
参考
NXNSAttack
- CVE-2020-8616の発見者による情報サイト
- http://www.nxnsattack.com/
JPRS
- (緊急)BIND 9.xの脆弱性(パフォーマンスの低下・リフレクション攻撃の踏み台化)について(CVE-2020-8616) - バージョンアップを強く推奨 -
- https://jprs.jp/tech/security/2020-05-20-bind9-vuln-processing-referrals.html
- (緊急)BIND 9.xの脆弱性(DNSサービスの停止・異常な動作)について(CVE-2020-8617) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -
- https://jprs.jp/tech/security/2020-05-20-bind9-vuln-tsig.html
以上
