公開日:2021/11/01 最終更新日:2021/11/02

JVNVU#91101819
ISC BINDにサービス運用妨害(DoS)の脆弱性

概要

ISC(Internet Systems Consortium)が提供するBINDには、サービス運用妨害(DoS)の脆弱性が存在します。

影響を受けるシステム

  • BIND 9.3.0から9.11.35
  • BIND 9.12.0から9.16.21
  • BIND 9.9.3-S1から9.11.35-S1(BIND 9 Supported Preview Edition)
  • BIND 9.16.8-S1から9.16.21-S1(BIND 9 Supported Preview Edition)
  • BIND 9.17.0から9.17.18(BIND 9.17 development branch)
なお開発者によると、Authoritative-onlyのBIND 9サーバーは、本脆弱性の影響を受けないとのことです。

詳細情報

ISC BINDには、lame cacheの設計の問題によって内部データ構造がほぼ無限に大きくなり、BINDリゾルバのパフォーマンスが低下することでクライアントクエリへの応答に大幅な遅延が発生する、サービス運用妨害(DoS)の脆弱性(CWE-400、CVE-2021-25219)が存在します。

想定される影響

遠隔の第三者によって送信された細工されたクエリを処理させられることで、namedリゾルバのCPU時間の大半をlame cacheの管理とチェックに消費され、クライアントクエリへの応答が大幅に遅延し、クライアント側でDNSタイムアウトが発生する可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、使用しているバージョンの最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • BIND 9.11.36
  • BIND 9.16.22
  • BIND 9.17.19
  • BIND 9.11.36-S1
  • BIND 9.16.22-S1
ワークアラウンドを適用する
「lame-ttl 0」を設定し、lame cacheを無効にすることで、本脆弱性の影響を軽減することが可能です。
ISCによると、lame cacheを無効にすることによるデメリットはほとんどないとのことです。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
横河計測株式会社 該当製品無し 2021/11/02
ベンダ リンク
Internet Systems Consortium(ISC) CVE-2021-25219: Lame cache can be abused to severely degrade resolver performance

参考情報

  1. JPRS
    BIND 9.xの脆弱性(パフォーマンスの低下)について(CVE-2021-25219)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2021/11/02
横河計測株式会社のベンダステータスが更新されました