【注意喚起】ISC BIND 9の脆弱性（CVE-2021-25218）に関する注意喚起

※情報が更新されている可能性がありますので、最新情報は以下を参照ください。
https://www.jpcert.or.jp/at/2021/at210035.html
引用元: JPCERTコーディネーションセンター　注意喚起

ISC BIND 9の脆弱性（CVE-2021-25218）に関する注意喚起がありました。

I. 概要
ISC BIND 9には、応答速度制限（RRL）が有効な場合に、namedが有効なインターフェースの最大
転送単位（MTU）よりも大きい応答を行った際にアサーションエラーを引き起こす脆弱性があります。
脆弱性が悪用されると、遠隔の第三者がnamedを異常終了させる可能性があります。

ISCは、本脆弱性に対する深刻度を「高（High）」と評価しています。脆弱性の詳細はISCの情報を
確認してください。

　Internet Systems Consortium, Inc.（ISC）
　CVE-2021-25218: A too-strict assertion check could be triggered when responses in BIND 9.16.19
　and 9.17.16 require UDP fragmentation if RRL is in use
　https://kb.isc.org/docs/cve-2021-25218

影響を受けるバージョンのISC BIND 9を運用している場合は、「III.対策」を参考に修正済みバージョン
の適用について検討してください。


II. 対象
対象となる製品とバージョンは次のとおりです。

　- BIND 9.17.16
　- BIND 9.16.19
　- BIND 9 Supported Preview Edition 9.16.19-S1

本脆弱性は、上記のバージョンのみ影響を受けるとのことです。

RRLはデフォルトではChaos（CH）クラスでのみ有効となっています。ディストリビューターが提供
しているBINDをお使いの場合は、使用中のディストリビューターなどの情報を参照してください。


III. 対策
ISCは脆弱性を修正したバージョンのISC BIND 9を公開しました。また、今後各ディストリビューター
なども、修正済みのバージョンを提供すると思われます。十分なテストを実施の上、更新の適用を検討
してください。

　- BIND 9.17.17
　- BIND 9.16.20
　- BIND Supported Preview Edition 9.16.20-S1

なお回避策として、named.confから既存のすべてのrate-limit文を削除し、代替としてデフォルトの
Chaosビューを定義することで、Chaosを含むすべてのクラスのRRLを無効化することが挙げられて
います。


IV. 参考情報
　Internet Systems Consortium, Inc.（ISC）
　BIND 9 Security Vulnerability Matrix
　https://kb.isc.org/docs/aa-00913

　株式会社日本レジストリサービス（JPRS）
　（緊急）BIND 9.16.19の脆弱性（DNSサービスの停止）について（CVE-2021-25218）- BIND 9.16.19
　のみが対象、バージョンアップを強く推奨 -
　https://jprs.jp/tech/security/2021-08-19-bind9-vuln-rrl.html