BIND 9における脆弱性について(2021年2月)

2021年2月17日(現地時間)、 BIND 9に存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

GSS-TSIG機能に脆弱性があり、機能が有効な場合リモートからバッファオーバーフロー攻撃が成功する可能性があります。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。管理者の皆様におかれましては、ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

記

CVE-2020-8625: BINDのGSSAPIネゴシエーション機能の脆弱性に対してバッファオーバーフロー攻撃の標的となる可能性がある

概要

GSS-TSIGはTSIGプロトコルの拡張であり、通信の正しさを検証するために使用されます。また、GSS-TSIGのインタフェースとして使用されるネゴシエーションメカニズムにはSPNEGOというものがあります。このSPNEGOの実装に、バッファオーバーフロー攻撃が成功する可能性のある脆弱性があることが判明しました。

デフォルトの設定は脆弱ではありませんが、 GSS-TSIG機能に関するtkey-gssapi-keytabまたはtkey-gssapi-credentialconfigurationオプションが有効な場合のみに脆弱となります。ただし、GSS-TSIGは、BINDとSambaとの統合環境や、 BINDとActive Directoryのドメインコントローラを組み合わせた環境でよく使用されるため、注意が必要です。

脆弱性への攻撃に成功した場合、namedプロセスのクラッシュが予想されます。しかし、リモートからのコード実行は理論的には可能ではあるものの、確認されていません。

回避策

この脆弱性は、GSS-TSIGを使用するように設定された場合にのみ影響があります。認証に別のメカニズムを使用できる場合には、 GSS-TSIG機能を無効にすることで、この脆弱性を回避できます。

影響を受けるバージョン

9.5.0 ～ 9.11.27
9.12.0 ～ 9.16.11
9.17.0 ～ 9.17.1
9.11.3-S1 ～ 9.11.27-S1
9.16.8-S1 - 9.16.11-S1

修正されたバージョンとダウンロードページ

9.11.28
9.16.12
9.11.28-S1
9.16.12-S1

https://www.isc.org/download/

ISCからのアナウンス

CVE-2020-8625: A vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack - Security Advisories: https://kb.isc.org/docs/cve-2020-8625