キャッシュDNSサーバ「BIND 9.x」に複数の脆弱性（JPRS、JVN）

JPRSは、「BIND 9.xの脆弱性（DNSサービスの停止・異常な動作）について（CVE-2020-8617）」、および「BIND 9.xの脆弱性（パフォーマンスの低下・リフレクション攻撃の踏み台化）について（CVE-2020-8616）」の2つの緊急情報を発表した。

脆弱性と脅威セキュリティホール・脆弱性

2020.5.22 Fri 8:05

株式会社日本レジストリサービス（JPRS）は5月20日、「BIND 9.xの脆弱性（DNSサービスの停止・異常な動作）について（CVE-2020-8617）」、および「BIND 9.xの脆弱性（パフォーマンスの低下・リフレクション攻撃の踏み台化）について（CVE-2020-8616）」の2つの緊急情報を発表した。独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）も同日、「ISC BIND 9 に複数の脆弱性」を発表している。

これは、開発元であるISCから脆弱性情報が発表されたもの。BIND 9.xには、実装上の不具合により、namedに対する外部からのサービス不能（DoS）攻撃が可能となる脆弱性（CVE-2020-8617）が存在する。また、実装上の不具合により、namedに対する外部からの攻撃が可能となる脆弱性（CVE-2020-8616）も存在する。対象となるバージョンは次の通り。

・9.16系列：9.16.0～9.16.2
・9.14系列：9.14.0～9.14.11
・9.12系列：9.12.0～9.12.4-P2
・上記以外の系列：9.0.0～9.11.18

これらのバージョンでは、細工された委任情報を処理することでDoS攻撃を受けたり、他のサーバに対するDoS攻撃に使用される（CVE-2020-8616）、細工されたTSIGレコードを処理することでDoS攻撃を受ける（CVE-2020-8617）可能性がある。ISCでは本脆弱性の深刻度（Severity）を「高（High）」と評価している。JPRSでは、脆弱性を修正したパッチバージョン（BIND 9.16.3/9.14.12/9.11.19）への更新、あるいは、各ディストリビューションベンダからリリースされる更新の適用を、速やかに実施するよう強く推奨している。

《吉澤亨史（ Kouji Yoshizawa ）》