公開日:2021/02/18 最終更新日:2021/02/18

JVNVU#90613078
ISC BIND にバッファオーバーフローの脆弱性

概要

ISC (Internet Systems Consortium) が提供する BIND には、バッファオーバーフローの脆弱性が存在します。

影響を受けるシステム

  • BIND 9.5.0 から 9.11.27
  • BIND 9.12.0 から 9.16.11
  • BIND Supported Preview Edition 9.11.3-S1 から 9.11.27-S1
  • BIND Supported Preview Edition 9.16.8-S1 から 9.16.11-S1
  • BIND 開発版 9.17.0 から 9.17.1

詳細情報

BIND には TSIG プロトコルの拡張機能である GSS-TSIG の、GSSAPI に基づくネゴシエーションメカニズム SPNEGO の実装不備によりバッファオーバーフローの脆弱性が存在します。

想定される影響

GSSAPI に関するオプション tkey-gssapi-keytab または tkey-gssapi-credential に有効な値が明示的に設定されている場合に named プロセスのクラッシュが引き起こされ、サービス運用妨害 (DoS) 状態にされる可能性があります。
開発者によると、2021年2月18日時点では実証されていませんが、リモートでコード実行できる可能性があると報告しています。

対策方法

アップデートする
開発者が提供する情報をもとに、使用しているバージョンの最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • BIND 9.11.28
  • BIND 9.16.12
  • BIND Supported Preview Edition 9.11.28-S1
  • BIND Supported Preview Edition 9.16.12-S1
ワークアラウンドを実施する
  • GSS-TSIG を使用しない
  • 一部のプラットフォームで BIND ビルド時、ソースディレクトリのトップにある configure スクリプトを実行する際 --disable-isc-spnego をコマンドライン引数に指定し、SPNEGO を組み込まない named を作成する(ただし、GSSAPI が使用できなくなる可能性があります)

参考情報

  1. 日本レジストリサービス (JPRS)
    (緊急)BIND 9.xの脆弱性(DNSサービスの停止・リモートコード実行)について(CVE-2020-8625)- GSS-TSIGが有効に設定されている場合のみ対象、バージョンアップを強く推奨 -

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
基本値: 8.1
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-8625
JVN iPedia