公開日:2020/06/18 最終更新日:2020/06/18
JVNVU#91012351
ISC BIND に複数の脆弱性
ISC (Internet Systems Consortium) が提供する BIND には、複数の脆弱性が存在します。
以下のバージョンが影響を受けます。
- CVE-2020-8618
- BIND 9.16.0 から 9.16.3
- CVE-2020-8619
- BIND 9.11.14 から 9.11.19
- BIND 9.14.9 から 9.14.12
- BIND 9.16.0 から 9.16.3
- BIND Supported Preview Edition 9.11.14-S1 から 9.11.19-S1
ISC (Internet Systems Consortium) が提供する BIND には、複数の脆弱性が存在します。
- ゾーンデータのバッファ終端チェックの不備により
rdataset.c
でアサーションエラーが発生する - CVE-2020-8618CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H 基本値: 4.3 - ゾーン転送において巨大なサイズのレスポンスを受信した際に、受信データのバッファ終端チェックの不備により
rdataset.c
においてアサーションエラーが発生し、サーバが停止する可能性があります。 - ゾーンファイル中のワイルドカードの不適切な処理により
rbtdb.c
でアサーションエラーが発生する - CVE-2020-8619CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H 基本値: 4.3 - ゾーンファイルにおいてワイルドカードを意味するラベル "*" が、ドメイン名の終端以外の位置に書かれていた場合、
rbtdb.c
においてアサーションエラーが発生し、サーバが停止する可能性があります。
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 遠隔の第三者が細工したゾーンデータをセカンダリサーバに送信することによって、サービス運用妨害 (DoS) 攻撃が行われる - CVE-2020-8618
- ゾーンのコンテンツを変更することを許可された第三者によって、サービス運用妨害 (DoS) 攻撃が行われる - CVE-2020-8619
アップデートする
開発者が提供する情報をもとに、使用しているバージョンの最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。
- BIND 9.16.4 - CVE-2020-8618、CVE-2020-8619
- BIND 9.11.20 - CVE-2020-8619
- BIND Supported Preview Edition 9.11.20-S1 - CVE-2020-8619
-
日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8618)- バージョンアップを推奨 - -
日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8619)- バージョンアップを推奨 -
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2020-8618 |
CVE-2020-8619 |
|
JVN iPedia |
|
- 2020/06/18
- [詳細情報] CVE-2020-8619 の説明を修正しました。