BIND 9の複数の脆弱性情報(Medium: CVE-2020-8620, CVE-2020-8621, CVE-2020-8622, CVE-2020-8623, Low: CVE-2020-8624)と新バージョン(9.11.22, 9.16.6, 9.17.4 )

2020.08.21

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

08/20/2020に、予告どおりBIND 9の複数の脆弱性情報(Medium: CVE-2020-8620, CVE-2020-8621, CVE-2020-8622, CVE-2020-8623, Low: CVE-2020-8624)と新バージョン(9.11.22, 9.16.6, 9.17.4 )が公開されています。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

一次情報源

BIND 9 Security Vulnerability Matrix

CVE番号影響するバージョンプライオリティ攻撃CVSS ScoreCVSS Vector
CVE-2020-8620 BIND 9.15.6 -> 9.16.5, 9.17.0 -> 9.17.3MediumリモートCVSS Score: 6.7CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:P/RL:O/RC:C
CVE-2020-8621 BIND 9.14.0 -> 9.16.5, 9.17.0 -> 9.17.3MediumリモートCVSS Score: 6.7CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:P/RL:O/RC:C
CVE-2020-8622 BIND 9.0.0 -> 9.11.21, 9.12.0 -> 9.16.5, 9.17.0 -> 9.17.3, 9.9.3-S1 -> 9.11.21-S1MediumリモートCVSS Score: 5.9CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/E:P/RL:O/RC:C
CVE-2020-8623 BIND 9.10.0 -> 9.11.21, 9.12.0 -> 9.16.5, 9.17.0 -> 9.17.3, also affects 9.10.5-S1 -> 9.11.21-S1MediumリモートCVSS Score: 6.7CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:P/RL:O/RC:C
CVE-2020-8624 BIND 9.9.12 -> 9.9.13, 9.10.7 -> 9.10.8, 9.11.3 -> 9.11.21, 9.12.1 -> 9.16.5, 9.17.0 -> 9.17.3, 9.9.12-S1 -> 9.9.13-S1, 9.11.3-S1 -> 9.11.21-S1LowリモートCVSS Score: 3.9CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N/E:P/RL:O/RC:C

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • https://kb.isc.org/docs/cve-2020-8620
    • 重要度 – Medium
    • 説明:libuvネットワークマネージャを使用しているBIND(9.16.xのみがStableブランチで影響を受けます)で、最大バッファサイズの指定が正しくなかったため、特別に細工された大きいTCPペイロードの受信をトリガーにしてアサーションフェーラーが引き起こされます。
    • 影響:サーバにTCP接続を確立してデータを送ることが出来る攻撃者は、これを利用してアサーションフェーラーを引き起こすことができ、サーバを終了させることが可能です。
    • 暫定回避策:暫定回避策はありません。問題があるバージョンを使用している場合には更新する必要があります。
  • https://kb.isc.org/docs/cve-2020-8621
    • 重要度 – Medium
    • 説明:クエリの転送とQNAME minimization”は相互に互換性がありませんが、BINDは’forward first‘で応答の結果が得られなかった後に再帰を実行するとQNAME minimizationが許可される場合がありました。これらのケースではQNAME minimizationに使用されたデータが矛盾している為、アサーションフェーラーが引き起こされ、サーバが終了されます。
    • 影響:サーバがQNAME minimizationと’forward first’の双方を設定している場合、クエリを送ることが出来る攻撃者はサーバをクラッシュさせる条件を満たすトリガを引き起こす事ができる可能性があります。
    • 暫定回避策:暫定回避策はありません。問題があるバージョンを使用している場合には更新する必要があります。
  • https://kb.isc.org/docs/cve-2020-8622
    • 重要度 – Medium
    • 説明:TSIG認証のリクエストへの切り捨てられた(truncated)応答確認がアサーションフェーラーを引き起こします。
    • 影響:TSIG認証リクエストのネットワークパスにいる攻撃者、あるいはTSIG認証リクエストを受け取ったサーバを操作することが出来る攻撃者は、切り捨てられた応答を送信することが出来、アサーションフェーラーを引き起こすことが出来ます。
    • 暫定回避策:暫定回避策はありません。問題があるバージョンを使用している場合には更新する必要があります。
  • https://kb.isc.org/docs/cve-2020-8623
    • 重要度 – Medium
    • 説明:BINDが“–enable-native-pkcs11”でビルドされた場合、RSAでサインされたゾーンに対する特別に細工されたクエリがアサーションフェーラーを引き起こします。
    • 影響:脆弱性のあるシステムにアクセスできる攻撃者が特別に細工されたパケットを送ることでクラッシュさせることが出来ます。

      この脆弱性が影響するのは、システムが

      • “–enable-native-pkcs11″でBINDがビルドされていて
      • 一つ以上のゾーンがRSAキーでサインされていて
      • 攻撃社のクエリを受信することが出来る

      必要があります。

    • 暫定回避策:暫定回避策はありません。問題があるバージョンを使用している場合には更新する必要があります。
  • https://kb.isc.org/docs/cve-2020-8624
    • 重要度 – Low
    • 説明:4885の変更により”サブドメイン”タイプの”更新ポリシー”ルールが”zonesub”タイプであるかのように処理されてしまっていたため、意図したサブドメインと共にゾーンの全ての部分を更新できるようになっていました。
    • 影響:特定のゾーンコンテンツのサブセットを変更できる権限を持つ攻撃者がその他のゾーンのコンテンツに対して意図しない権限を与えられている結果となっていました。
    • 暫定回避策:暫定回避策はありません。問題があるバージョンを使用している場合には更新する必要があります。

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

セキュリティ系連載案内

セミナー情報1

コンピュータセキュリティシンポジウム(CSS)2020併設のワークショップ、 OSSセキュリティ技術ワークショップ(OWS) 2020の企画講演セッション及び、 一般論文セッションの発表募集をさせていただきます。

今年度はオンラインでの開催となります。奮ってのご投稿、お待ちしております。

https://www.iwsec.org/ows/2020/

タイトルとURLをコピーしました