BIND 9.xの脆弱性（サービス提供者が意図しないDynamic Updateの許可）について（CVE-2020-8624）

DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■BIND 9.xの脆弱性（サービス提供者が意図しないDynamic Updateの許可）
  について（CVE-2020-8624） - バージョンアップを推奨 -

                                株式会社日本レジストリサービス（JPRS）
                                            初版作成 2020/08/21（Fri）
---------------------------------------------------------------------
▼概要

  BIND 9.xにおける実装上の不具合により、サービス提供者が意図しない形で
  Dynamic Updateが許可されてしまう脆弱性が、開発元のISCから発表されま
  した。本脆弱性により、外部の攻撃者がDynamic Updateを用いて、ゾーンデー
  タを不正に更新する可能性があります。

  なお、本脆弱性はnamedの設定ファイル（通常はnamed.conf）において、
  update-policy機能を用いたDynamic Updateの制御を設定しており、かつ、
  subdomainルールタイプを設定している場合にのみ該当します（デフォルト
  では無効）。

  該当するBIND 9のパッケージを利用しているユーザーは、各ディストリビュー
  ションベンダーからリリースされる情報の収集や設定の追加など、適切な対
  応を取ることを推奨します。

▼詳細

▽本脆弱性の概要

  Dynamic UpdateはRFC 2136で定義される、クライアントからの依頼により権
  威DNSサーバーが管理するゾーン情報を動的に更新するための機能です。
  BINDではDynamic Updateによる動的更新の受け付けは、デフォルトでは無効
  に設定されています。

  BINDにおけるDynamic Updateのアクセス制限は、named.confの
  update-policy機能で設定します。今回の脆弱性は、update-policy機能にお
  いて設定するsubdomainルールタイプについて、仕様と実際の動作が一致し
  ておらず、意図したアクセス制限がされないことにより発生します[*1]。

  [*1] subdomainゾーンタイプを設定しているにもかかわらずzonesubゾーン
       タイプを設定した際の動作となり、そのサブドメインと共にそのゾー
       ンのすべての部分を更新できるようになります。

▽対象となるバージョン

  本脆弱性は、以下のバージョンのBIND 9が該当します。

  ・9.16系列：9.16.0～9.16.5
  ・9.14系列：9.14.0～9.14.12
  ・9.12系列：9.12.0～9.12.4-P2
  ・上記以外の系列：9.9.12～9.11.21

  なお、ISCではサポートを終了した系列のセキュリティパッチはリリースし
  ないと発表しています。

▽影響範囲

  ISCは、本脆弱性の深刻度（Severity）を「低（Low）」と評価しています。

  本脆弱性については、以下の脆弱性情報[*2]も併せてご参照ください。

  [*2] CVE - CVE-2020-8624
       <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8624>

▼一時的な回避策

  本脆弱性の一時的な回避策は存在しません。

▼解決策

  本脆弱性を修正したパッチバージョン（BIND 9.16.6/9.11.22）への更新、
  あるいは、各ディストリビューションベンダーからリリースされる更新の適
  用を実施してください。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、
  適切な対応を取ることを推奨します。

  - ISC

   セキュリティアドバイザリ

    CVE-2020-8624: update-policy rules of type "subdomain" are
                   enforced incorrectly
    <https://kb.isc.org/docs/cve-2020-8624>

   パッチバージョンの入手先

    BIND 9.16.6
    <https://ftp.isc.org/isc/bind9/9.16.6/bind-9.16.6.tar.xz>

    BIND 9.11.22
    <https://ftp.isc.org/isc/bind9/9.11.22/bind-9.11.22.tar.gz>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ
  さい。

---------------------------------------------------------------------
▼更新履歴
  2020/08/21 10:00 初版作成