BIND 9における複数の脆弱性について(2021年4月)

2021年4月28日(現地時間)、複数のバージョンのBIND 9に存在する、三つの脆弱性の情報がISC (Internet Systems Consortium)から公開されました。それぞれの脆弱性の内容は次の通りです。

IXFRの不具合によりnamedが予期せず停止するもの
DNAMEレコードへの応答の際に、DNAME自身の名前解決に失敗しアサーションチェックが失敗するもの
BINDのGSSAPIネゴシエーション機能の脆弱性に対してバッファオーバーフロー攻撃の標的となる可能性があるもの(第二報)

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。管理者の皆さまにおかれましては、ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

記

CVE-2021-25214: IXFRの不具合によりnamedが予期せず停止する

IXFR(Incremental zone transfers)は、サーバ間のゾーン転送において差分転送を行う機能です。このIXFRを行う際に、転送するデータ中にゾーン頂点以外のownerを持つSOAレコードがあった場合、ゾーンを受信する側のnamedがデータベースから当該のSOAレコードを誤って削除してしまう可能性があります。これにより、そのゾーンに対して次にSOAのrefreshクエリを実行した際に、アサーションに失敗しnamedが停止します。

CVE-2021-25215: DNAMEレコードへの応答の際に、DNAME自身の名前解決に失敗しアサーションチェックが失敗することがある

DNAMEレコードは、DNSにおける名前空間の一部分を別のツリーへリダイレクトできるようにする機能を持ったレコードであり、 RFC6672で標準化されています。

namedにはこのDNAMEレコードを処理する過程に不具合があるため、同じRRsetをANSWERセクションに2回以上追加しようとする可能性があります。これにより、BINDのアサーションチェックが失敗します。

DNAMEレコードは、権威サーバとキャッシュサーバの両方で用いられます。権威サーバの場合、ゾーンデータベース中にDNAMEレコードが含まれていると脆弱性の発生要因となる可能性があります。キャッシュサーバの場合、名前解決中に権威サーバからDNAMEレコードを受け取る可能性があります。

CVE-2021-25216: BINDのGSSAPIネゴシエーション機能の脆弱性に対してバッファオーバーフロー攻撃の標的となる可能性がある(第二報)

GSS-TSIGはTSIGプロトコルの拡張であり、通信の正しさを検証するために使用されます。また、GSS-TSIGのインタフェースとして使用されるネゴシエーションメカニズムにはSPNEGOというものがあります。このSPNEGOの実装に、バッファオーバーフロー攻撃が成功する可能性のある脆弱性があります。

デフォルトの設定は脆弱ではありませんが、 GSS-TSIG機能に関するtkey-gssapi-keytabまたはtkey-gssapi-credentialオプションが有効な場合に脆弱となります。ただし、GSS-TSIGは、BINDとSambaとの統合環境や、 BINDとActive Directoryのドメインコントローラを組み合わせた環境でよく使用されるため、注意が必要です。

SPNEGOの標準的な実装としてはMITおよびHeimdalのKerberosライブラリがあり、幅広いOS環境でサポートされています。ISCは、ISCによる実装は不要かつ時代遅れであると判断しました。

そのため、2021年4月にリリースされるBIND 9.11および9.16からISCによるSPNEGO実装が削除されることになりました(BIND 9.17はすでに削除されています)。

修正されたバージョンとダウンロードページ

BIND 9.11.31
BIND 9.16.15
BIND 9.17.12 (CVE-2021-25216 を除く)

BIND 9.11.31-S1
BIND 9.16.15-S1

https://www.isc.org/download/

ISCからのアナウンス

CVE-2021-25214: A broken inbound incremental zone update (IXFR) can cause named to terminate unexpectedly: https://kb.isc.org/docs/cve-2021-25214
CVE-2021-25215: An assertion check can fail while answering queries for DNAME records that require the DNAME to be processed to resolve itself: https://kb.isc.org/docs/cve-2021-25215
CVE-2021-25216: A second vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack - Security Advisories: https://kb.isc.org/docs/cve-2021-25216

参考情報

JPRS

BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2021-25214） - セカンダリサーバーのみ対象、バージョンアップを推奨 -: https://jprs.jp/tech/security/2021-04-30-bind9-vuln-ixfr.html
（緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2021-25215） - バージョンアップを強く推奨 -: https://jprs.jp/tech/security/2021-04-30-bind9-vuln-dname.html
（緊急）BIND 9.xの脆弱性（DNSサービスの停止・リモートコード実行）について（CVE-2021-25216） - GSS-TSIGが有効に設定されている場合のみ対象、バージョンアップを強く推奨 -: https://jprs.jp/tech/security/2021-04-30-bind9-vuln-gsstsig.html