DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8622)
  - バージョンアップを推奨 -

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2020/08/21(Fri)
---------------------------------------------------------------------
▼概要

  BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ
  ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。
  本脆弱性により、提供者が意図しないDNSサービスの停止が発生する可能性
  があります。

  該当するBIND 9のパッケージを利用しているユーザーは、各ディストリビュー
  ションベンダーからリリースされる情報の収集やバージョンアップなど、適
  切な対応を取ることを推奨します。

▼詳細

▽本脆弱性の概要

  TSIGはRFC 2845で定義される、DNSの通信(トランザクション)に電子署名
  を付加し、通信の安全性を高めるための仕組みです。TSIGを利用することで、
  ゾーン転送、DNS NOTIFY、Dynamic Updateなどにおいて通信相手を認証し、
  通信路におけるデータの改ざんを検知できます。

  一方、DNSには応答がUDPで送信可能なサイズを超えたために切り詰めが起こっ
  たことを、問い合わせ元に知らせる機能があります[*1]。切り詰められた応
  答を受け取った場合、問い合わせ元は同じ内容の問い合わせをTCPで送信し
  ます(TCPフォールバック)。

  [*1] JPRS用語辞典|TCビット
       <https://jprs.jp/glossary/index.php?ID=0204>

  BIND 9.xにはTSIG署名された問い合わせに対し、切り詰められた応答を受け
  取った際の確認処理に不具合があり、当該メッセージを受け取った際に
  namedが異常終了する可能性があります[*2]。

  [*2] 本脆弱性によりnamedが異常終了した場合、assertion failureを引き起
       こした旨のメッセージがログに出力されます。

  そのため、外部の攻撃者が標的のサーバーに応答を受け取らせることに成功
  した場合、そのサーバーのDNSサービスを停止させることが可能になります。
  ISCでは攻撃の手法として、以下の例を挙げています。

    ・ネットワーク経路上の攻撃者や悪意を持つサーバーの運用者が、
      該当する応答を標的のサーバーに送る

    ・ネットワーク経路外の攻撃者が、該当する応答を標的のサーバーに
      注入する

▽対象となるバージョン

  本脆弱性は、BIND 9.0.0以降のすべてのバージョンのBIND 9が該当します。

  ・9.16系列:9.16.0~9.16.5
  ・9.14系列:9.14.0~9.14.12
  ・9.12系列:9.12.0~9.12.4-P2
  ・上記以外の系列:9.0.0~9.11.21

  なお、ISCではサポートを終了した系列のセキュリティパッチはリリースし
  ないと発表しています。

▽影響範囲

  ISCは、本脆弱性の深刻度(Severity)を「中(Medium)」と評価しています。

  本脆弱性については、以下の脆弱性情報[*3]も併せてご参照ください。

  [*3] CVE - CVE-2020-8622
       <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8622>

▼一時的な回避策

  本脆弱性の一時的な回避策は存在しません。

▼解決策

  本脆弱性を修正したパッチバージョン(BIND 9.16.6/9.11.22)への更新、
  あるいは、各ディストリビューションベンダーからリリースされる更新の適
  用を実施してください。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、
  適切な対応を取ることを推奨します。

  - ISC

   セキュリティアドバイザリ

    CVE-2020-8622: A truncated TSIG response can lead to an assertion
                   failure
    <https://kb.isc.org/docs/cve-2020-8622>

   パッチバージョンの入手先

    BIND 9.16.6
    <https://ftp.isc.org/isc/bind9/9.16.6/bind-9.16.6.tar.xz>

    BIND 9.11.22
    <https://ftp.isc.org/isc/bind9/9.11.22/bind-9.11.22.tar.gz>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ
  さい。

---------------------------------------------------------------------
▼更新履歴
  2020/08/21 10:00 初版作成


株式会社日本レジストリサービス Copyright©2001-2020 Japan Registry Services Co., Ltd.