DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2021-25214)
  - セカンダリサーバーのみ対象、バージョンアップを推奨 -

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2021/04/30(Fri)
---------------------------------------------------------------------
▼概要

  BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ
  ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。
  本脆弱性により、提供者が意図しないDNSサービスの停止が発生する可能性
  があります。

  該当するBIND 9のパッケージを利用しているユーザーは、各ディストリビュー
  ションベンダーからリリースされる情報の収集やバージョンアップなど、適
  切な対応を速やかに取ることを強く推奨します。

  本脆弱性は差分ゾーン転送(IXFR)の不具合に由来するものであり、named
  がセカンダリサーバーとして設定されている場合のみ対象となります。

▼詳細

▽本脆弱性の概要

  ゾーン転送は、権威DNSサーバー間でゾーン情報を同期する手法の一つです。
  IXFRはRFC 1995で定義される、ゾーンデータの差分のみを送ることで、ゾー
  ン転送の効率を向上するための仕組みです。

  BIND 9.xには特別に作成されたデータをIXFRで受け取った際、受け取り側の
  namedが自身のゾーンデータからSOAレコードを誤って削除してしまう不具合
  があり、次回のSOAレコードの更新確認[*1]の際にnamedが異常終了する可能
  性があります[*2]。

  [*1] セカンダリサーバーはSOAレコードのREFRESHで指定された時間ごとに、
       SOAレコードのSERIALの更新を確認する問い合わせをプライマリサーバー
       に送信します。

  [*2] 本脆弱性によりnamedが異常終了した場合、assertion failureを引き
       起こした旨のメッセージがログに出力されます。

▽対象となるバージョン

  本脆弱性は、以下のバージョンのBIND 9が該当します。

  ・9.16系列:9.16.0~9.16.13
  ・9.11系列:9.11.0~9.11.29
  ・その他の系列:9.8.5/9.9.3以降にリリースされたバージョン

  なお、ISCではサポートを終了した系列のセキュリティパッチはリリースし
  ないと発表しています。

▽影響範囲

  ISCは、本脆弱性の深刻度(Severity)を「中(Medium)」と評価しています。

  本脆弱性は、namedが攻撃者からのゾーン転送を受け付けている場合にのみ
  対象となります。

  本脆弱性については、以下の脆弱性情報[*3]も併せてご参照ください。

  [*3] CVE - CVE-2021-25214
       <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25214>

▼一時的な回避策

  設定ファイル(通常はnamed.conf)で「request-ixfr no;」を指定し、IXFR
  を無効にすることで、本脆弱性を回避できます。ただし、IXFRを無効にした
  場合、ゾーン転送の効率が低下します。

▼解決策

  本脆弱性を修正したパッチバージョン(BIND 9.16.15/9.11.31)への更新、
  あるいは、各ディストリビューションベンダーからリリースされる更新の適
  用を、速やかに実施してください。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、
  適切な対応を取ることを強く推奨します。

  - ISC

   セキュリティアドバイザリ

    CVE-2021-25214: A broken inbound incremental zone update (IXFR)
                    can cause named to terminate unexpectedly
    <https://kb.isc.org/docs/cve-2021-25214>

   パッチバージョンの入手先

    BIND 9.16.15
    <https://ftp.isc.org/isc/bind9/9.16.15/bind-9.16.15.tar.xz>
    BIND 9.11.31
    <https://ftp.isc.org/isc/bind9/9.11.31/bind-9.11.31.tar.gz>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ
  さい。

---------------------------------------------------------------------
▼更新履歴
  2021/04/30 10:00 初版作成


株式会社日本レジストリサービス Copyright©2001-2021 Japan Registry Services Co., Ltd.