（緊急）BIND 9.xの脆弱性（パフォーマンスの低下・リフレクション攻撃の踏み台化）について（CVE-2020-8616）

DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■（緊急）BIND 9.xの脆弱性（パフォーマンスの低下・リフレクション攻撃の
  踏み台化）について（CVE-2020-8616） - バージョンアップを強く推奨 -

                                株式会社日本レジストリサービス（JPRS）
                                            初版作成 2020/05/20（Wed）
---------------------------------------------------------------------
▼概要

  BIND 9.xにおける実装上の不具合により、namedに対する外部からの攻撃が
  可能となる脆弱性が、開発元のISCから発表されました。本脆弱性により、
  namedの負荷上昇によるパフォーマンスの低下や、リフレクション攻撃[*1]
  の踏み台として悪用される状況が発生する可能性があります。

  [*1] インターネット上のホストにデータを反射（リフレクション）させる
       ことでサイズの増幅や、攻撃元の隠蔽を図る攻撃手法。

  該当するBIND 9のパッケージを利用しているユーザーは、各ディストリビュー
  ションベンダーからリリースされる情報の収集やバージョンアップなど、適
  切な対応を速やかに取ることを強く推奨します。

▼詳細

▽本脆弱性の概要

  DNSでは名前解決の際、フルリゾルバー（キャッシュDNSサーバー）が委任元
  の権威DNSサーバーが応答した委任情報を処理して、次に問い合わせるサー
  バーを決定します。

  BIND 9.xでは、名前解決において委任情報を処理する際に実行される問い合
  わせの回数が、十分に制限されていません。そのため、権威DNSサーバーか
  ら特別に細工された委任情報をフルリゾルバーに応答することで、委任情報
  を処理するために数多くの問い合わせを実行してしまう可能性があります。

  外部の攻撃者がこの脆弱性を利用することで、少なくとも以下の2種類の攻
  撃が可能になります。

  ・当該フルリゾルバーの負荷を上昇させ、パフォーマンスを低下させる
  ・当該フルリゾルバーを、リフレクション攻撃の反射器として悪用する

▽対象となるバージョン

  本脆弱性は、BIND 9.0.0以降のすべてのバージョンのBIND 9が該当します。

  ・9.16系列：9.16.0～9.16.2
  ・9.14系列：9.14.0～9.14.11
  ・9.12系列：9.12.0～9.12.4-P2
  ・上記以外の系列：9.0.0～9.11.18

  なお、ISCではサポートを終了した系列のセキュリティパッチはリリースし
  ないと発表しています。

▽影響範囲

  ISCは、本脆弱性の深刻度（Severity）を「高（High）」と評価しています。

  本脆弱性については、以下の脆弱性情報[*2]も併せてご参照ください。

  [*2] CVE - CVE-2020-8616
       <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8616>

▼一時的な回避策

  本脆弱性の一時的な回避策は存在しません。

▼解決策

  本脆弱性を修正したパッチバージョン（BIND 9.16.3/9.14.12/9.11.19）へ
  の更新、あるいは、各ディストリビューションベンダーからリリースされる
  更新の適用を、速やかに実施してください。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、
  適切な対応を取ることを強く推奨します。

  - ISC

   セキュリティアドバイザリ

    CVE-2020-8616: BIND does not sufficiently limit the number of
                   fetches performed when processing referrals
    <https://kb.isc.org/docs/cve-2020-8616>

   パッチバージョンの入手先

    BIND 9.16.3
    <https://ftp.isc.org/isc/bind9/9.16.3/bind-9.16.3.tar.xz>
    BIND 9.14.12
    <https://ftp.isc.org/isc/bind9/9.14.12/bind-9.14.12.tar.gz>
    BIND 9.11.19
    <https://ftp.isc.org/isc/bind9/9.11.19/bind-9.11.19.tar.gz>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ
  さい。

---------------------------------------------------------------------
▼更新履歴
  2020/05/20 10:00 初版作成




株式会社日本レジストリサービス　Copyright©2001-2024 Japan Registry Services Co., Ltd.