---------------------------------------------------------------------
■(緊急)BIND 9.16.19の脆弱性(DNSサービスの停止)について
(CVE-2021-25218)
- BIND 9.16.19のみが対象、バージョンアップを強く推奨 -
株式会社日本レジストリサービス(JPRS)
初版作成 2021/08/19(Thu)
---------------------------------------------------------------------
▼概要
BIND 9.16.19における実装上の不具合により、namedに対する外部からのサー
ビス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されまし
た。本脆弱性により、提供者が意図しないDNSサービスの停止が発生する可能
性があります。
該当するBIND 9のパッケージを利用しているユーザーは、各ディストリビュー
ションベンダーからリリースされる情報の収集やバージョンアップなど、適
切な対応を速やかに取ることを強く推奨します。
本脆弱性は、BIND 9.16.19のみが対象となります。
▼詳細
▽本脆弱性の概要
DNS Response Rate Limiting(以下、DNS RRL)[*1]は、DNSリフレクター攻
撃[*2]の効果を軽減するために開発された技術です。DNS RRLはIPアドレス
によるアクセスコントロールの適用が難しい、権威DNSサーバーを利用した
DNSリフレクター攻撃の対策に特に有効です。
[*1] DNS Response Rate Limiting (DNS RRL)
<https://www.isc.org/pubs/tn/isc-tn-2012-1.txt>
[*2] JPRS用語辞典|DNSリフレクター攻撃(DNSアンプ攻撃)
<https://jprs.jp/glossary/index.php?ID=0156>
BIND 9.16.19にはDNS RRLの実装に不具合があり、DNS RRLが有効に設定され
ており[*3]、かつ、UDPによる応答サイズが送信対象のネットワークインター
フェースのMTU[*4]よりも大きい場合、namedが異常終了する可能性がありま
す[*5]。
[*3] DNS RRLは通常のDNSデータで使われるINTERNET(IN)クラスではデフォ
ルトで無効ですが、CHAOS(CH)クラスではデフォルトで有効です。
[*4] Maximum Transmission Unit:当該ネットワークで扱える最大転送単位。
[*5] 本脆弱性によりnamedが異常終了した場合、assertion failureを引き
起こした旨のメッセージがログに出力されます。
そのため、外部の攻撃者がこの状況を発生させることができた場合、当該サー
バーのDNSサービスを停止させることが可能になります。
▽対象となるバージョン
本脆弱性は、以下のバージョンのBIND 9が該当します。
・9.16系列:9.16.19
▽影響範囲
ISCは、本脆弱性の深刻度(Severity)を「高(High)」と評価しています。
ISCでは、本脆弱性が顕在化する条件として、以下の二つを挙げています。
・namedの設定ファイル(通常はnamed.conf)において、max-udp-sizeにネッ
トワークインターフェースのMTUよりも大きな値を設定している場合
・namedが動作するシステムにおいて、Path MTU Discovery(PMTUD)を用い
た外部からのMTUの設定が許可されている場合
本脆弱性については、以下の脆弱性情報[*6]も併せてご参照ください。
[*6] CVE - CVE-2021-25218
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25218>
▼一時的な回避策
CHAOSクラスを含む、すべてのview[*7]でDNS RRLを無効にすることで、本脆
弱性を回避できます。CHAOSクラスのviewでDNS RRLを無効にする際の設定方
法については、参考リンクに掲載したISCの情報をご参照ください。
[*7] 問い合わせ元の属性(例:送信元IPアドレス)ごとに異なる応答を返せ
るようにするための設定・機能。BINDを含む、複数のDNSサーバーソフ
トウェアに実装されている。
なお、DNS RRLを無効にした場合、当該機能によるDNSリフレクター攻撃の効
果の軽減も無効になります。
▼解決策
本脆弱性を修正したパッチバージョン(BIND 9.16.20)への更新、あるいは、
各ディストリビューションベンダーからリリースされる更新の適用を、速や
かに実施してください。
▼参考リンク
以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、
適切な対応を取ることを強く推奨します。
- ISC
セキュリティアドバイザリ
CVE-2021-25218: A too-strict assertion check could be triggered
when responses in BIND 9.16.19 and 9.17.16 require
UDP fragmentation if RRL is in use
<https://kb.isc.org/docs/cve-2021-25218>
パッチバージョンの入手先
BIND 9.16.20
<https://ftp.isc.org/isc/bind9/9.16.20/bind-9.16.20.tar.xz>
▼連絡先
本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ
さい。
---------------------------------------------------------------------
▼更新履歴
2021/08/19 10:00 初版作成
株式会社日本レジストリサービス Copyright©2001-2024 Japan Registry Services Co., Ltd.