公開日:2019/10/17 最終更新日:2021/09/15

JVNVU#98919979
ISC BIND 9 における複数の脆弱性

概要

ISC (Internet Systems Consortium) が提供する BIND には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2019-6475、CVE-2019-6476 ともに以下のバージョンが影響を受けます。

  • BIND 9.14.0 から 9.14.6
  • BIND 9.15.0 から 9.15.4
※ BIND 9.15 系は開発版です。

詳細情報

ISC (Internet Systems Consortium) が提供する BIND には、複数の脆弱性が存在します。

  • mirror zone データの検証不備 - CVE-2019-6475
    CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N 基本値: 5.9
    CVSS v2 AV:N/AC:H/Au:N/C:N/I:C/A:N 基本値: 5.4
  • QNAME minimization 処理の不備によるサービス停止 - CVE-2019-6476
    CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 5.9
    CVSS v2 AV:N/AC:L/AU:N/C:N/I:N/A:C 基本値: 5.4

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、偽のゾーンデータを named に挿入される - CVE-2019-6475
  • 遠隔の第三者によって、named が停止される可能性  CVE-2019-6476

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • BIND 9.14.7
  • BIND 9.15.5 (開発版)
ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

CVE-2019-6475
  • mirror zones 機能を使用しないようにする(デフォルトでは未設定)
CVE-2019-6476
  • QNAME minimization を無効 "disabled" にする(デフォルトでは有効 "relaxed")

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
BizMobile株式会社 該当製品無し 2021/09/15
ジェイティ エンジニアリング株式会社 該当製品無し 2020/04/10
横河計測株式会社 該当製品無し 2019/10/17
ベンダ リンク
CVE-2019-6476: An error in QNAME minimization code can cause BIND to exit with an assertion failure
Internet Systems Consortium CVE-2019-6475: A flaw in mirror zone validity checking can allow zone data to be spoofed

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2019-6475
CVE-2019-6476
JVN iPedia

更新履歴

2019/10/17
横河計測株式会社のベンダステータスが更新されました
2020/04/10
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2021/09/15
BizMobile株式会社のベンダステータスが更新されました