BIND 9.xの脆弱性（キャッシュポイズニングの危険性）について（CVE-2021-25220）

DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■BIND 9.xの脆弱性（キャッシュポイズニングの危険性）について
  （CVE-2021-25220）
  - DNSフォワーダーのみ対象、バージョンアップを推奨 -

                                株式会社日本レジストリサービス（JPRS）
                                            初版作成 2022/03/17（Thu）
---------------------------------------------------------------------
▼概要

  BIND 9.xにおける実装上の不具合により、namedに対する外部からの攻撃が
  可能となる脆弱性が、開発元のISCから発表されました。本脆弱性により、
  本来は成立しない条件下において、不正なNSレコードを用いたキャッシュポ
  イズニング[*1]が成立する可能性があります。

  [*1] JPRS用語辞典｜DNSキャッシュポイズニング
       <https://jprs.jp/glossary/index.php?ID=0171>

  該当するBIND 9のパッケージを利用しているユーザーは、各ディストリビュー
  ションベンダーからリリースされる情報の収集やバージョンアップなど、適
  切な対応を速やかに取ることを強く推奨します。

  本脆弱性はnamedをDNSフォワーダーとして使用している場合にのみ対象とな
  ります。DNSフォワーダーについては本文書の「本脆弱性の概要」を参照く
  ださい。

▼詳細

▽本脆弱性の概要

  DNSフォワーダー[*2]は、別のリゾルバーに名前解決要求を転送するリゾルバー
  です。BIND 9.xは、DNSフォワーダーの機能をサポートしています。

  [*2] JPRS用語辞典｜DNSフォワーダー（DNSプロキシー）
       <https://jprs.jp/glossary/index.php?ID=0198>

  BIND 9.xのDNSフォワーダーの実装には、特定の条件下において不正なNSレ
  コードを誤ってキャッシュし、名前解決に使用してしまう不具合があり、結
  果として正しくない名前解決結果をクライアントに返してしまう可能性があ
  ります。

  開発元のISCでは本脆弱性の対象となる条件の例として、以下のものを挙げて
  います。

    ・ゾーンごと、またはグローバルに「forward first（DNSフォワーダーに
      おけるデフォルト設定）」を設定しているリゾルバー

    ・グローバルな転送は設定していないが、ゾーンごとに「forward first」
      または「forward only」を設定しているリゾルバー

    ・名前空間の一部に対して転送を無効にするzoneステートメントを設定し
      たうえで、グローバルな転送を設定しているリゾルバー

▽対象となるバージョン

  本脆弱性は、BIND 9.1.0以降のすべてのバージョンのBIND 9が該当します。

  なお、ISCではサポートを終了した系列のセキュリティパッチはリリースし
  ないと発表しています。

▽影響範囲

  ISCは、本脆弱性の深刻度（Severity）を「中（Medium）」と評価しています。
  ただし、権威DNSサーバーの機能のみを有効に設定しているBIND 9.xは、本脆
  弱性の対象となりません。

  本脆弱性については、以下の脆弱性情報[*3]も併せてご参照ください。

  [*3] CVE - CVE-2021-25220
       <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25220>

▼一時的な回避策

  namedの設定を変更し、DNSフォワーダーまたはフルリゾルバーの機能を適宜
  無効にすることで、本脆弱性を回避できます。

▼解決策

  本脆弱性を修正したパッチバージョン（BIND 9.18.1/9.16.27/9.11.37）への
  更新、あるいは、各ディストリビューションベンダーからリリースされる更
  新の適用を、速やかに実施してください。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、
  適切な対応を取ることを強く推奨します。

  - ISC

   セキュリティアドバイザリ

    CVE-2021-25220: DNS forwarders - cache poisoning vulnerability
    <https://kb.isc.org/docs/cve-2021-25220>

   パッチバージョンの入手先

    BIND 9.18.1
    <https://ftp.isc.org/isc/bind9/9.18.1/bind-9.18.1.tar.xz>
    BIND 9.16.27
    <https://ftp.isc.org/isc/bind9/9.16.27/bind-9.16.27.tar.xz>
    BIND 9.11.37
    <https://ftp.isc.org/isc/bind9/9.11.37/bind-9.11.37.tar.gz>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ
  さい。

---------------------------------------------------------------------
▼更新履歴
  2022/03/17 10:00 初版作成