BIND 9の複数の脆弱性情報(Medium: CVE-2020-8618, CVE-2020-8619)と新バージョン(9.11.20, 9.16.4, 9.17.2)

2020.06.18

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

06/18/2020にBIND 9の複数の脆弱性情報(Medium: CVE-2020-8618, CVE-2020-8619)と新バージョン(9.11.20, 9.16.4, 9.17.2)が公開されています。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

一次情報源

BIND 9 Security Vulnerability Matrix

CVE番号影響するバージョンプライオリティ攻撃CVSS ScoreCVSS Vector
CVE-2020-8618 BIND 9.16.0 -> 9.16.3MediumリモートCVSS Score: 4.3CVSS Vector: AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C
CVE-2020-8619 BIND 9.11.14 -> 9.11.19, BIND 9.14.9 -> 9.14.12, BIND 9.16.0 -> 9.16.3, 9.11.14-S1 -> 9.11.19-S1MediumリモートCVSS Score: 4.3CVSS Vector: AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8618
    • 重要度 – Medium
    • 説明:BINDのアサーションチェック(入力データを処理する際にバッファーの終わりを超えるのを防止するもの)が、ゾーン転送の際の大きな応答処理を行う際に不正に呼び出されることがわかりました。
    • 影響:ゾーン転送を用いてサーバにデータを送ることが出来る攻撃者は、これを利用して特別に細工されたゾーンを用いることでアサーションフェーラーを引き起こすことができ、DoSに繋がります。
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8619
    • 重要度 – Medium
    • 説明:DNSゾーンファイル中で一般的にDNS graphのターミナルノードでワイルド・カードとしてアスタリスク(*)文字の使用が許可されています。しかし、RFCではこれは必要ではなく、BINDはアスタリスク文字がターミナルノードのに未存在することを強制していません。

      DNS graph内のターミナルノード以外の場所にアスタリスク文字が存在することにより、問題が発生します。その様なnodeが存在する場合、種々のクエリの後に、namedがrbtdb.c中のアサーションチェックの失敗により不安定な状態になります。

      • 影響:ネームサーバが一つ以上のゾーンに権威があり、少なくとも1つのゾーンがターミナル以外でアスタリスク文字を含んでいない限りは、この欠陥は影響しません。ゾーンのコンテンツを変更できる攻撃者は、理論的にはこの欠陥を利用してDoSを引き起こすことが出来ますが、その様な攻撃にはかなりの特権レベルを必要とし、追跡も簡単になります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

セキュリティ系連載案内

タイトルとURLをコピーしました