公開日:2020/06/18 最終更新日:2020/06/18

JVNVU#91012351
ISC BIND に複数の脆弱性

概要

ISC (Internet Systems Consortium) が提供する BIND には、複数の脆弱性が存在します。

影響を受けるシステム

以下のバージョンが影響を受けます。

  • CVE-2020-8618
    • BIND 9.16.0 から 9.16.3
  • CVE-2020-8619
    • BIND 9.11.14 から 9.11.19
    • BIND 9.14.9 から 9.14.12
    • BIND 9.16.0 から 9.16.3
    • BIND Supported Preview Edition 9.11.14-S1 から 9.11.19-S1

詳細情報

ISC (Internet Systems Consortium) が提供する BIND には、複数の脆弱性が存在します。

  • ゾーンデータのバッファ終端チェックの不備により rdataset.c でアサーションエラーが発生する - CVE-2020-8618
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H 基本値: 4.3
  • ゾーン転送において巨大なサイズのレスポンスを受信した際に、受信データのバッファ終端チェックの不備により rdataset.c においてアサーションエラーが発生し、サーバが停止する可能性があります。
  • ゾーンファイル中のワイルドカードの不適切な処理により rbtdb.c でアサーションエラーが発生する - CVE-2020-8619
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H 基本値: 4.3
  • ゾーンファイルにおいてワイルドカードを意味するラベル "*" が、ドメイン名の終端以外の位置に書かれていた場合、rbtdb.c においてアサーションエラーが発生し、サーバが停止する可能性があります。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 遠隔の第三者が細工したゾーンデータをセカンダリサーバに送信することによって、サービス運用妨害 (DoS) 攻撃が行われる - CVE-2020-8618
  • ゾーンのコンテンツを変更することを許可された第三者によって、サービス運用妨害 (DoS) 攻撃が行われる - CVE-2020-8619

対策方法

アップデートする
開発者が提供する情報をもとに、使用しているバージョンの最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • BIND 9.16.4 - CVE-2020-8618、CVE-2020-8619
  • BIND 9.11.20 - CVE-2020-8619
  • BIND Supported Preview Edition 9.11.20-S1 - CVE-2020-8619

ベンダ情報

ベンダ リンク
Internet Systems Consortium CVE-2020-8618: A buffer boundary check assertion in rdataset.c can fail incorrectly during zone transfer
CVE-2020-8619: An asterisk character in an empty non-terminal can cause an assertion failure in rbtdb.c

参考情報

  1. 日本レジストリサービス (JPRS)
    BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8618)- バージョンアップを推奨 -
  2. 日本レジストリサービス (JPRS)
    BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8619)- バージョンアップを推奨 -

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-8618
CVE-2020-8619
JVN iPedia

更新履歴

2020/06/18
[詳細情報] CVE-2020-8619 の説明を修正しました。