トップ セキュリティ情報 2020年度 【注意喚起】ISC BIND 9 に対する複数の脆弱性に関する注意喚起

【注意喚起】ISC BIND 9 に対する複数の脆弱性に関する注意喚起

2020年8月24日 南大沢 日野 荒川

ISC BIND 9 に対する複数の脆弱性に関する注意喚起がありました。

I. 概要
 ISC BIND 9 には、複数の脆弱性があります。脆弱性が悪用されると、遠隔の第三者によりサービス運用妨害 (DoS) などが引き起こされる可能性があります。

 ISC は、脆弱性 CVE-2020-8620、CVE-2020-8621、CVE-2020-8622、CVE-2020-8623 に対する深刻度を「中 (Medium)」、CVE-2020-8624 に対する深刻度を「低 (Low)」と評価しています。脆弱性の詳細については、ISC の情報を確認してください。

 Internet Systems Consortium, Inc. (ISC)
 CVE-2020-8620: A specially crafted large TCP payload can trigger an assertion failure in tcpdns.c

 Internet Systems Consortium, Inc. (ISC)
 CVE-2020-8621: Attempting QNAME minimization after forwarding can lead to an assertion failure in resolver.c

 Internet Systems Consortium, Inc. (ISC)
 CVE-2020-8622: A truncated TSIG response can lead to an assertion failure

 Internet Systems Consortium, Inc. (ISC)
 CVE-2020-8623: A flaw in native PKCS#11 code can lead to a remotely triggerable assertion failure in pk11.c

 Internet Systems Consortium, Inc. (ISC)
 CVE-2020-8624: update-policy rules of type "subdomain" are enforced incorrectly

 影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III.対策」を参考に修正済みバージョンへの適用について検討してください。


II. 対象
 対象となる製品とバージョンは次のとおりです。

 - CVE-2020-8620
 - BIND 9.16系 9.16.0 から 9.16.5 まで

 - CVE-2020-8621
 - BIND 9.16系 9.16.0 から 9.16.5 まで
 - BIND 9.14系 9.14.0 から 9.14.12 まで

 - CVE-2020-8622
 - BIND 9.16系 9.16.0 から 9.16.5 まで
 - BIND 9.14系 9.14.0 から 9.14.12 まで
 - BIND 9.11系 9.11.0 から 9.11.21 まで
 - BIND 9 Supported Preview Edition 9.9.3-S1 から 9.11.21-S1 まで

 - CVE-2020-8623
 - BIND 9.16系 9.16.0 から 9.16.5 まで
 - BIND 9.14系 9.14.0 から 9.14.12 まで
 - BIND 9.11系 9.11.0 から 9.11.21 まで
 - BIND 9 Supported Preview Edition 9.10.5-S1 から 9.11.21-S1 まで

 - CVE-2020-8624
 - BIND 9.16系 9.16.0 から 9.16.5 まで
 - BIND 9.14系 9.14.0 から 9.14.12 まで
 - BIND 9.11系 9.11.0 から 9.11.21 まで
 - BIND 9 Supported Preview Edition 9.9.12-S1 から 9.9.13-S1 まで
 - BIND 9 Supported Preview Edition 9.11.3-S1 から 9.11.21-S1 まで

 なお既にサポートが終了している BIND 9.10系以前や 9.12系、9.13系、9.15系および開発版の 9.17系についても影響を受ける脆弱性があるとのことです。
ディストリビュータが提供している BIND をお使いの場合は、使用中のディストリビュータなどの情報を参照してください。


III. 対策
 ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。また、今後各ディストリビュータなどからも、修正済みのバージョンが提供されると思われますので、十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。

 - BIND 9.11.22
 - BIND 9.16.6
 - BIND 9.17.4
 - BIND Supported Preview Edition 9.11.22-S1


IV. 参考情報
 株式会社日本レジストリサービス (JPRS)
 BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8620)- バージョンアップを推奨 -

 株式会社日本レジストリサービス (JPRS)
 BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8621)- バージョンアップを推奨 -

 株式会社日本レジストリサービス (JPRS)
 BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8622)- バージョンアップを推奨 -

 株式会社日本レジストリサービス (JPRS)
 BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8623)- ビルド時に「--enable-native-pkcs11」を指定した場合にのみ対象、バージョンアップを推奨 -

 株式会社日本レジストリサービス (JPRS)
 BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可)について(CVE-2020-8624)- バージョンアップを推奨 -

 Internet Systems Consortium, Inc. (ISC)
 BIND 9 Security Vulnerability Matrix

ページ上部へ戻る