こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。
02/18/2021に、予告どおりBIND 9の脆弱性情報(High: CVE-2020-8625)と新バージョン(9.11.28, 9.16.12, 9.17.10 )が公開されています。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
[過去の関連リンク(最新5件)]
BIND 9の複数の脆弱性情報(Medium: CVE-2020-8618, CVE-2020-8619)と新バージョン(9.11.20, 9.16.4, 9.17.2)
BIND 9の複数の脆弱性情報(High: CVE-2020-8616, CVE-2020-8617)と新バージョン(9.11.19, 9.14.12, 9.16.3)
BIND 9 の脆弱性情報(Medium: CVE-2019-6477)
BINDの脆弱性情報(Medium: CVE-2019-6475, CVE-2019-6476)
BINDの脆弱性情報(Medium: CVE-2019-6471)
BIND Supported Preview Editionの脆弱性情報(Medium: CVE-2019-6469)
BINDの複数の脆弱性情報(High: CVE-2018-5743, Medium: CVE-2019-6467, CVE-2019-6468)
BIND 9 の複数の脆弱性情報(High: CVE-2018-5744, Medium: CVE-2018-5745, CVE-2019-6465)
一次情報源
BIND 9 Security Vulnerability Matrix
| CVE番号 | 影響するバージョン | プライオリティ | 攻撃 | CVSS Score | CVSS Vector |
|---|---|---|---|---|---|
| CVE-2020-8625 | BIND 9.5.0 -< 9.11.27, 9.12.0 -< 9.16.11, 9.11.3-S1 -< 9.11.27-S1, 9.16.8-S1 -< 9.16.11-S1, 9.17.0 -< 9.17.1 | High | リモート | CVSS Score: 8.1 | CVSS Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- https://kb.isc.org/docs/cve-2020-8625
- 重要度 – High
- 説明:GSS-TSIGはネットワーク上で通信の信頼性を検証するために使用するキーの安全な交換のためのTSIGプロトコル拡張機能です。SPNEGOはGSSAPIによりネゴシエーションメカニズムで使用されています。BINDのSPNEGO実装にバッファーオーバーフロー攻撃の脆弱性が発見されました。
- 影響:GSS-TSIG機能を有効にして設定している場合に、BINDサーバに影響があります。BINDのデフォルト設定を使用する構成では脆弱性のあるコードのパスは公開されませんが、tkey-gssapi-keytabまたはtkey-gssapi-credentialconfigurationオプションで明示的に値を設定している場合、脆弱性がある場合があります。GSS-TSIGはBINDがSambaと統合されているネットワークや、BINDサーバーとActiveDirectoryドメインコントローラーを組み合わせた環境でよく使用されます。
脆弱性の悪用が成功した場合、プロセスのクラッシュが可能性が高いです。ただし、リモートでのコード実行は、証明されていませんが、理論的には可能です。
- 暫定回避策:この脆弱性はGSS-TSIGを用いてDynamic Updateを行っている場合に発現します。他の認証方法を用いてupdateを行っている場合には、GSS-TSIG機能を有効にしないことで脆弱性を回避することが出来ます。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS
- Ubuntu
- SUSE/openSUSE
- Arch
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。
また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。
セキュリティ系連載案内
- OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
- OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
- OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
- OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
- OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる?」が連載されています。
- OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter(BPF)入門」が連載されています。
CM
こちらで小学生の勉強支援サイトをオープンしました。算数のプリント(都度、自動生成)が無料でダウンロードできます。コンテンツは未だ少ないですが、徐々に増やしていきます。
