ネームサーバ管理者の方々へ
一般社団法人日本ネットワークインフォメーションセンター
BIND 9における複数の脆弱性について(2021年4月)
2021年4月28日(現地時間)、 複数のバージョンのBIND 9に存在する、 三つの脆弱性の情報がISC (Internet Systems Consortium)から公開されました。 それぞれの脆弱性の内容は次の通りです。
- IXFRの不具合によりnamedが予期せず停止するもの
- DNAMEレコードへの応答の際に、DNAME自身の名前解決に失敗しアサーションチェックが失敗するもの
- BINDのGSSAPIネゴシエーション機能の脆弱性に対してバッファオーバーフロー攻撃の標的となる可能性があるもの(第二報)
ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆さまにおかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。
記
CVE-2021-25214: IXFRの不具合によりnamedが予期せず停止する
IXFR(Incremental zone transfers)は、サーバ間のゾーン転送において差分転送を行う機能です。 このIXFRを行う際に、転送するデータ中にゾーン頂点以外のownerを持つSOAレコードがあった場合、 ゾーンを受信する側のnamedがデータベースから当該のSOAレコードを誤って削除してしまう可能性があります。 これにより、そのゾーンに対して次にSOAのrefreshクエリを実行した際に、アサーションに失敗しnamedが停止します。
CVE-2021-25215: DNAMEレコードへの応答の際に、DNAME自身の名前解決に失敗しアサーションチェックが失敗することがある
DNAMEレコードは、DNSにおける名前空間の一部分を別のツリーへリダイレクトできるようにする機能を持ったレコードであり、 RFC6672で標準化されています。
namedにはこのDNAMEレコードを処理する過程に不具合があるため、 同じRRsetをANSWERセクションに2回以上追加しようとする可能性があります。 これにより、BINDのアサーションチェックが失敗します。
DNAMEレコードは、権威サーバとキャッシュサーバの両方で用いられます。 権威サーバの場合、ゾーンデータベース中にDNAMEレコードが含まれていると脆弱性の発生要因となる可能性があります。 キャッシュサーバの場合、名前解決中に権威サーバからDNAMEレコードを受け取る可能性があります。
CVE-2021-25216: BINDのGSSAPIネゴシエーション機能の脆弱性に対してバッファオーバーフロー攻撃の標的となる可能性がある(第二報)
GSS-TSIGはTSIGプロトコルの拡張であり、通信の正しさを検証するために使用されます。 また、GSS-TSIGのインタフェースとして使用されるネゴシエーションメカニズムにはSPNEGOというものがあります。 このSPNEGOの実装に、バッファオーバーフロー攻撃が成功する可能性のある脆弱性があります。
デフォルトの設定は脆弱ではありませんが、 GSS-TSIG機能に関するtkey-gssapi-keytabまたはtkey-gssapi-credentialオプションが有効な場合に脆弱となります。 ただし、GSS-TSIGは、BINDとSambaとの統合環境や、 BINDとActive Directoryのドメインコントローラを組み合わせた環境でよく使用されるため、注意が必要です。
SPNEGOの標準的な実装としてはMITおよびHeimdalのKerberosライブラリがあり、 幅広いOS環境でサポートされています。ISCは、ISCによる実装は不要かつ時代遅れであると判断しました。
そのため、2021年4月にリリースされるBIND 9.11および9.16からISCによるSPNEGO実装が削除されることになりました(BIND 9.17はすでに削除されています)。
修正されたバージョンとダウンロードページ
BIND 9.11.31
BIND 9.16.15
BIND 9.17.12 (CVE-2021-25216 を除く)
BIND 9.11.31-S1
BIND 9.16.15-S1
ISCからのアナウンス
- CVE-2021-25214: A broken inbound incremental zone update (IXFR) can cause named to terminate unexpectedly
- https://kb.isc.org/docs/cve-2021-25214
- CVE-2021-25215: An assertion check can fail while answering queries for DNAME records that require the DNAME to be processed to resolve itself
- https://kb.isc.org/docs/cve-2021-25215
- CVE-2021-25216: A second vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack - Security Advisories
- https://kb.isc.org/docs/cve-2021-25216
参考情報
JPRS
- BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2021-25214)
- セカンダリサーバーのみ対象、バージョンアップを推奨 - - https://jprs.jp/tech/security/2021-04-30-bind9-vuln-ixfr.html
- (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2021-25215)
- バージョンアップを強く推奨 - - https://jprs.jp/tech/security/2021-04-30-bind9-vuln-dname.html
- (緊急)BIND 9.xの脆弱性(DNSサービスの停止・リモートコード実行)について(CVE-2021-25216)
- GSS-TSIGが有効に設定されている場合のみ対象、バージョンアップを強く推奨 - - https://jprs.jp/tech/security/2021-04-30-bind9-vuln-gsstsig.html
JPCERT/CC
- ISC BIND 9の複数の脆弱性に関する注意喚起
- https://www.jpcert.or.jp/at/2021/at210021.html
以上