BIND 9における脆弱性について(2022年3月)

2022年3月16日(現地時間)、複数のバージョンのBIND 9に存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。管理者の皆様におかれましては、ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

記

DNSフォワーダーとして利用しているときにキャッシュポイズニングが発生する

BINDをフォワーダーとして利用しているときに、動作の正しくないNSレコードを受け取りそれをnamedがキャッシュしてしまうことで間違った応答を返す可能性があります。

細工したTCPパケットによりDoSが発生する

細工したTCPパケットを送ることでBINDに対してネットワーク接続をできなくさせられます。この脆弱性は keep-response-order オプションを有効にしている場合に影響を受けます。

synth-from-dnssecが有効な場合DNAMEの問い合わせでnamedが不正終了する(BIND 9.18.0のみ)

BIND 9.18 において、RFC 8198 (Aggressive Use of DNSSEC-Validated) のリファクタリングが行われました。その際、synth-from-dnssec機能がデフォルトで有効になりましたが実装に誤りがあり、特定のクエリを受けるとINSISTに失敗しnamedが不正終了することがあります。本脆弱性はdnssec-validationとsynth-from-dnssecオプションを有効にしている場合に影響があります。(デフォルトの設定では有効になっています)

DSレコードの問い合わせの際に例外が発生する (BIND 9.18.0のみ)

BIND 9.18 では"backstop lifetime timer"と呼ばれる仕組みが導入されました。 DSレコードの問い合わせ処理が規定の時間内に終了しないときに例外処理が発生するというものです。

修正されたバージョンとダウンロードページ

BIND 9.11.37
BIND 9.16.27
BIND 9.18.1

https://www.isc.org/download/

ISCからのアナウンス

CVE-2021-25220: DNS forwarders - cache poisoning vulnerability: https://kb.isc.org/docs/cve-2021-25220

CVE-2022-0396: DoS from specifically crafted TCP packets: https://kb.isc.org/docs/cve-2022-0396

CVE-2022-0635: DNAME insist with synth-from-dnssec enabled: https://kb.isc.org/docs/cve-2022-0635

CVE-2022-0667: Assertion failure on delayed DS lookup: https://kb.isc.org/docs/cve-2022-0667

参考情報

JPRS

BIND 9.xの脆弱性（キャッシュポイズニングの危険性）について（CVE-2021-25220）: https://jprs.jp/tech/security/2022-03-17-bind9-vuln-forwarder.html

BIND 9.xの脆弱性（システムリソースの過度な消費）について（CVE-2022-0396）: https://jprs.jp/tech/security/2022-03-17-bind9-vuln-keep-response-order.html

（緊急）BIND 9.18.0の脆弱性（DNSサービスの停止）について（CVE-2022-0635）: https://jprs.jp/tech/security/2022-03-17-bind9-vuln-aggressiveuse.html

（緊急）BIND 9.18.0の脆弱性（DNSサービスの停止）について（CVE-2022-0667）: https://jprs.jp/tech/security/2022-03-17-bind9-vuln-dslookup.html

JPCERT/CC

ISC BIND 9における複数の脆弱性について（2022年3月）: https://www.jpcert.or.jp/newsflash/2022031701.html

以上