メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

各位

一般社団法人日本ネットワークインフォメーションセンター

BIND 9における脆弱性について(2022年3月)

2022年3月16日(現地時間)、 複数のバージョンのBIND 9に存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆様におかれましては、ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

DNSフォワーダーとして利用しているときにキャッシュポイズニングが発生する

BINDをフォワーダーとして利用しているときに、 動作の正しくないNSレコードを受け取りそれをnamedがキャッシュしてしまうことで間違った応答を返す可能性があります。

細工したTCPパケットによりDoSが発生する

細工したTCPパケットを送ることでBINDに対してネットワーク接続をできなくさせられます。 この脆弱性は keep-response-order オプションを有効にしている場合に影響を受けます。

synth-from-dnssecが有効な場合DNAMEの問い合わせでnamedが不正終了する(BIND 9.18.0のみ)

BIND 9.18 において、RFC 8198 (Aggressive Use of DNSSEC-Validated) のリファクタリングが行われました。 その際、synth-from-dnssec機能がデフォルトで有効になりましたが実装に誤りがあり、 特定のクエリを受けるとINSISTに失敗しnamedが不正終了することがあります。 本脆弱性はdnssec-validationとsynth-from-dnssecオプションを有効にしている場合に影響があります。(デフォルトの設定では有効になっています)

DSレコードの問い合わせの際に例外が発生する (BIND 9.18.0のみ)

BIND 9.18 では"backstop lifetime timer"と呼ばれる仕組みが導入されました。 DSレコードの問い合わせ処理が規定の時間内に終了しないときに例外処理が発生するというものです。

修正されたバージョンとダウンロードページ

BIND 9.11.37
BIND 9.16.27
BIND 9.18.1

https://www.isc.org/download/

ISCからのアナウンス

CVE-2021-25220: DNS forwarders - cache poisoning vulnerability
https://kb.isc.org/docs/cve-2021-25220
CVE-2022-0396: DoS from specifically crafted TCP packets
https://kb.isc.org/docs/cve-2022-0396
CVE-2022-0635: DNAME insist with synth-from-dnssec enabled
https://kb.isc.org/docs/cve-2022-0635
CVE-2022-0667: Assertion failure on delayed DS lookup
https://kb.isc.org/docs/cve-2022-0667

参考情報

JPRS

BIND 9.xの脆弱性(キャッシュポイズニングの危険性)について(CVE-2021-25220)
https://jprs.jp/tech/security/2022-03-17-bind9-vuln-forwarder.html
BIND 9.xの脆弱性(システムリソースの過度な消費)について(CVE-2022-0396)
https://jprs.jp/tech/security/2022-03-17-bind9-vuln-keep-response-order.html
(緊急)BIND 9.18.0の脆弱性(DNSサービスの停止)について(CVE-2022-0635)
https://jprs.jp/tech/security/2022-03-17-bind9-vuln-aggressiveuse.html
(緊急)BIND 9.18.0の脆弱性(DNSサービスの停止)について(CVE-2022-0667)
https://jprs.jp/tech/security/2022-03-17-bind9-vuln-dslookup.html

JPCERT/CC

ISC BIND 9における複数の脆弱性について(2022年3月)
https://www.jpcert.or.jp/newsflash/2022031701.html

以上

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2022 Japan Network Information Center. All Rights Reserved.