BIND 9の複数の脆弱性情報(Medium: CVE-2021-25214, High: CVE-2021-25215, CVE-2021-25216)と新バージョン(9.11.31, 9.16.15, 9.17.12 )

2021.04.29

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

04/28/2021に、予告どおりBIND 9の複数の脆弱性情報(Medium: CVE-2021-25214, High: CVE-2021-25215, CVE-2021-25216)と新バージョン(9.11.31, 9.16.15, 9.17.12 )が公開されています。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

BIND 9の脆弱性情報(High: CVE-2020-8625)

BIND 9の複数の脆弱性情報(Medium: CVE-2020-8620, CVE-2020-8621, CVE-2020-8622, CVE-2020-8623, Low: CVE-2020-8624)と新バージョン(9.11.22, 9.16.6, 9.17.4 )

BIND 9の複数の脆弱性情報(Medium: CVE-2020-8618, CVE-2020-8619)と新バージョン(9.11.20, 9.16.4, 9.17.2)

BIND 9の複数の脆弱性情報(High: CVE-2020-8616, CVE-2020-8617)と新バージョン(9.11.19, 9.14.12, 9.16.3)

BIND 9 の脆弱性情報(Medium: CVE-2019-6477)

BINDの脆弱性情報(Medium: CVE-2019-6475, CVE-2019-6476)

BINDの脆弱性情報(Medium: CVE-2019-6471)

BIND Supported Preview Editionの脆弱性情報(Medium: CVE-2019-6469)

BINDの複数の脆弱性情報(High: CVE-2018-5743, Medium: CVE-2019-6467, CVE-2019-6468)

BIND 9 の複数の脆弱性情報(High: CVE-2018-5744, Medium: CVE-2018-5745, CVE-2019-6465)

一次情報源

BIND 9 Security Vulnerability Matrix

CVE番号影響するバージョンプライオリティ攻撃CVSS ScoreCVSS Vector
CVE-2021-25214 BIND 9.8.5 -> 9.8.8, 9.9.3 -> 9.11.29, 9.12.0 -> 9.16.13, 9.9.3-S1 -> 9.11.29-S1, 9.16.8-S1 -> 9.16.13-S1, 9.17.0 -> 9.17.11MediumリモートCVSS Score: 6.5CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
CVE-2021-25214 BIND 9.0.0 -> 9.11.29, 9.12.0 -> 9.16.13, 9.9.3-S1 -> 9.11.29-S1, 9.16.8-S1 -> 9.16.13-S1, 9.17.0 -> 9.17.11HighリモートCVSS Score: 7.8CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CVE-2021-25214 BIND 9.5.0 -> 9.11.29, 9.12.0 -> 9.16.13, 9.11.3-S1 -> 9.11.29-S1, 9.16.8-S1 -> 9.16.13-S1, 9.17.0 -> 9.17.11HighリモートCVSS Score: 8.1 (on 32-bit platforms) , 7.4 (on 64-bit)CVSS Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H (32-bit)

CVSS Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H (64-bit)

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • https://kb.isc.org/docs/cve-2021-25214
    • 重要度 – Medium
    • 説明:IXFRはサーバ間でゾーンの変化した部分を転送する方法を提供します。IXFRストリームは転送されたゾーンAPEX以外のオーナー名を持つSOAレコードを含んでおり、受信したネームサーバが問題のゾーンのSOAレコードをゾーンデータベースから削除してしまう可能性があります。これにより、その次のSOA更新クエリが実行された時にアサーションエラーが発生します。
    • 影響:脆弱性があるバージョンのnamedが悪意のあるIXFRを受け取ることにより、前述の問題が発現し、namedのプロセスはアサーションフェーラにより終了します。
    • 暫定回避策:request-ixfrを”no”に設定してIXFRを無効にすることでこの脆弱性を迂回することが出来ます。
  • https://kb.isc.org/docs/cve-2021-25215
    • 重要度 – High
    • 説明:RFC2672で規定されたDNAMEレコードは、DNSのドメインネームツリーのサブツリーをリダイレクトする方法を提供します。このレコードをnamedが処理する方法に問題があり、同じRRsetをANSWERセクションに対して追加することが出来ます。これによりBINDがアサーションチェックで終了する事になります。

      DNAMEレコードは権威サーバ・リカーシブサーバの双方で処理されます。権威サーバでは、DNAMEレコードはこの問題を引き起こすDNAMEレコードをゾーンデータベースから取得できます。リカーシブサーバの場合、このようなレコードは権威サーバに送信されるクエリの中で処理されます。

    • 影響:脆弱性があるバージョンのnamedが前述の問題を引き起こすクエリを受け取った場合、namedのプロセスはアサーションチェックの失敗により終了します。
    • 暫定回避策:暫定回避策はありません。
  • https://kb.isc.org/docs/cve-2021-25216
    • 重要度 – High
    • 説明:GSS-TSIGは、TSIGプロトコルの拡張であり、ネットワーク中のコミュニケーション検証で使用するための安全な鍵の交換をサポートします。

      SPNEGOはGSS-TSIGのアプリケーションプロトコルであるGSSAPIで使用されるネゴシエーションメカニズムです。

      BINDに実装されているSPNEGOにバッファーオーバーフローの脆弱性が見つかりました。

    • 影響:GSS-TSIG機能を使用するように設定されている、前述のバージョンのBINDは脆弱性の影響を受けます。
    • 暫定回避策:GSS-TSIG機能を使用しないように設定することで回避することが出来ます。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

セキュリティ系連載案内

CM

こちらで小学生の勉強支援サイトをオープンしました。算数のプリント(都度、自動生成)が無料でダウンロードできます。コンテンツは未だ少ないですが、徐々に増やしていきます。

タイトルとURLをコピーしました