BIND 9の脆弱性情報(High: CVE-2020-8625)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

02/18/2021に、予告どおりBIND 9の脆弱性情報(High: CVE-2020-8625)と新バージョン(9.11.28, 9.16.12, 9.17.10 )が公開されています。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。



BIND 9の複数の脆弱性情報(Medium: CVE-2020-8620, CVE-2020-8621, CVE-2020-8622, CVE-2020-8623, Low: CVE-2020-8624)と新バージョン(9.11.22, 9.16.6, 9.17.4 )

BIND 9の複数の脆弱性情報(Medium: CVE-2020-8618, CVE-2020-8619)と新バージョン(9.11.20, 9.16.4, 9.17.2)

BIND 9の複数の脆弱性情報(High: CVE-2020-8616, CVE-2020-8617)と新バージョン(9.11.19, 9.14.12, 9.16.3)

BIND 9 の脆弱性情報(Medium: CVE-2019-6477)

BINDの脆弱性情報(Medium: CVE-2019-6475, CVE-2019-6476)

BINDの脆弱性情報(Medium: CVE-2019-6471)

BIND Supported Preview Editionの脆弱性情報(Medium: CVE-2019-6469)

BINDの複数の脆弱性情報(High: CVE-2018-5743, Medium: CVE-2019-6467, CVE-2019-6468)

BIND 9 の複数の脆弱性情報(High: CVE-2018-5744, Medium: CVE-2018-5745, CVE-2019-6465)

一次情報源

BIND 9 Security Vulnerability Matrix

CVE番号 影響するバージョン プライオリティ 攻撃 CVSS Score CVSS Vector
CVE-2020-8625 BIND 9.5.0 -< 9.11.27, 9.12.0 -< 9.16.11, 9.11.3-S1 -< 9.11.27-S1, 9.16.8-S1 -< 9.16.11-S1, 9.17.0 -< 9.17.1 High リモート CVSS Score: 8.1 CVSS Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • https://kb.isc.org/docs/cve-2020-8625
    • 重要度 - High
    • 説明:GSS-TSIGはネットワーク上で通信の信頼性を検証するために使用するキーの安全な交換のためのTSIGプロトコル拡張機能です。SPNEGOはGSSAPIによりネゴシエーションメカニズムで使用されています。BINDのSPNEGO実装にバッファーオーバーフロー攻撃の脆弱性が発見されました。
    • 影響:GSS-TSIG機能を有効にして設定している場合に、BINDサーバに影響があります。BINDのデフォルト設定を使用する構成では脆弱性のあるコードのパスは公開されませんが、tkey-gssapi-keytabまたはtkey-gssapi-credentialconfigurationオプションで明示的に値を設定している場合、脆弱性がある場合があります。GSS-TSIGはBINDがSambaと統合されているネットワークや、BINDサーバーとActiveDirectoryドメインコントローラーを組み合わせた環境でよく使用されます。

      脆弱性の悪用が成功した場合、プロセスのクラッシュが可能性が高いです。ただし、リモートでのコード実行は、証明されていませんが、理論的には可能です。
    • 暫定回避策:この脆弱性はGSS-TSIGを用いてDynamic Updateを行っている場合に発現します。他の認証方法を用いてupdateを行っている場合には、GSS-TSIG機能を有効にしないことで脆弱性を回避することが出来ます。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。


セキュリティ系連載案内

CM

こちらで小学生の勉強支援サイトをオープンしました。算数のプリント(都度、自動生成)が無料でダウンロードできます。コンテンツは未だ少ないですが、徐々に増やしていきます。


OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

前へ

OpenSSLの脆弱性情報(Moderate: CVE-2021-23841, Low: CVE-2021-23839, CVE-2021-23840)

次へ

【備忘録】SimpleSAMLphpで管理者ログインできなくてハマった話