DNS サーバ BIND の脆弱性対策について(CVE-2020-8616)(CVE-2020-8617)
ニュース
【概要】
DNS サーバの BIND に、複数の脆弱性が存在します。
この脆弱性が悪用された場合、負荷上昇によるパフォーマンスの低下やリフレクション攻撃の踏み台として悪用されるなどの影響の他、意図しないサービスの停止が発生する可能性があります。
脆弱性を悪用した攻撃はまだ確認されていませんが、今後攻撃が発生する可能性があるため至急 DNS サーバ管理者はアップデートを適用して下さい。
【影響を受けるシステム】
- 9.16系列:9.16.0~9.16.2
- 9.14系列:9.14.0~9.14.11
- 9.12系列:9.12.0~9.12.4-P2
- 上記以外の系列:9.0.0~9.11.18
※ 上記バージョン以外でも脆弱性の影響を受ける可能性があります。詳細はベンダに確認してください。
※ ベンダはサポートを終了した系列のセキュリティパッチはリリースしないと発表しています。
【対策】
1.脆弱性の解消 - 修正プログラムの適用
BIND を提供している ISC または各ベンダのアップデートを適用してください。ISC から以下のバージョンへのアップデートが提供 されています。オープンソース版は https://www.isc.org/download/ よりダウンロードできます。
- BIND 9.16.3
- BIND 9.14.12
- B1ND 9.11.19
【参考情報】
- CVE-2020-8616: BIND does not sufficiently limit the number of fetches performed when processing referrals
https://kb.isc.org/docs/cve-2020-8616
- CVE-2020-8617: A logic error in code which checks TSIG validity can be used to trigger an assertion failure in tsig.c
https://kb.isc.org/docs/cve-2020-8617 - (緊急)BIND 9.xの脆弱性(パフォーマンスの低下・リフレクション攻撃の踏み台化)について(CVE-2020-8616) - バージョン アップを強く推奨 -
https://jprs.jp/tech/security/2020-05-20-bind9-vuln-processing-referrals.html - (緊急)BIND 9.xの脆弱性(DNSサービスの停止・異常な動作)について(CVE-2020-8617) - フルリゾルバー(キャッシュDNS サーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2020-05-20-bind9-vuln-tsig.html - ISC BIND 9 の脆弱性 (CVE-2020-8616, CVE-2020-8617) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200023.html
出典:独立行政法人情報処理推進機構(IPA)