メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

各位

一般社団法人日本ネットワークインフォメーションセンター

BIND 9における脆弱性について(2021年8月)

2021年8月18日(現地時間)、 複数のバージョンのBIND 9に存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

影響のあるバージョンはBIND 9.16.19、9.17.16、および9.16.19-S1です。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆様におかれましては、ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

CVE-2021-25218: BIND 9.16.19および9.17.16においてRRLが使用されている場合、UDPフラグメンテーションが発生すると厳格すぎるアサーションチェックが発生する

概要

namedが使用しているネットワークインタフェースのMTU (maximum transmission unit)よりも大きいUDP応答を試み、 かつRRL (response-rate limiting)が有効な場合、 アサーションが発生しnamedプロセスが終了します。

namedがMTUよりも大きな応答をする場合は以下の二つが挙げられます。

  • named.confにおいてmax-udp-sizeオプションをインタフェースのMTUよりも大きな値を設定している
  • Path MTU discovery (PMTUD)が有効になっておりmax-udp-sizeよりも小さな値を受け付ける

回避策

ビルトインのCHAOSクラスを含め、すべての"view"においてRRL機能を無効にする。

修正されたバージョンとダウンロードページ

BIND 9.16.20
BIND 9.17.17
BIND 9.16.20-S1

https://www.isc.org/download/

ISCからのアナウンス

CVE-2021-25218: A too-strict assertion check could be triggered when responses in BIND 9.16.19 and 9.17.16 require UDP fragmentation if RRL is in use
https://kb.isc.org/docs/cve-2021-25218

参考情報

JPRS

(緊急)BIND 9.16.19の脆弱性(DNSサービスの停止)について(CVE-2021-25218)
https://jprs.jp/tech/security/2021-08-19-bind9-vuln-rrl.html

JPCERT/CC

ISC BIND 9の脆弱性(CVE-2021-25218)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210035.html

以上

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2021 Japan Network Information Center. All Rights Reserved.