JPRS、ISCのBIND 9.xの複数の脆弱性情報を公開

脆弱性と脅威セキュリティホール・脆弱性

2021.5.11 Tue 8:05

株式会社日本レジストリサービス（JPRS）は4月30日、BIND 9.xの複数の脆弱性情報を公開した。独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）も同日、「Japan Vulnerability Notes（JVN）」で発表している。

これは開発元のISCからの発表を受けたもので、BIND 9.xには次の脆弱性が存在する。影響を受けるシステムとその概要、対策は以下の通り。

○IXFR によるゾーン転送時にセカンダリサーバにおいて SOA 情報が欠落しアサーションエラーが発生する（CVE-2021-25214）
・影響を受けるシステム：
　9.16系列：9.16.0～9.16.13
　9.11系列：9.11.0～9.11.29
　その他の系列：9.8.5/9.9.3以降にリリースされたバージョン
・概要：
　BIND 9.xには特別に作成されたデータをIXFRで受け取った際、受け取り側のnamedが自身のゾーンデータからSOAレコードを誤って削除してしまう不具合があり、次回のSOAレコードの更新確認の際にnamedが異常終了する可能性がある。
・解決策：
　本脆弱性を修正したパッチバージョン（BIND 9.16.15/9.11.31）への更新、あるいは、各ディストリビューションベンダーからリリースされる更新の適用

○DNAME レコードの処理時にアサーションエラーが発生する（CVE-2021-25215）
・影響を受けるシステム：
　9.16系列：9.16.0～9.16.13
　9.11系列：9.11.0～9.11.29
・概要：
　BIND 9.xにはDNAMEレコードの取り扱いに不具合があり、特別に作成されたDNAMEレコードを含むメッセージの処理において、namedが異常終了する可能性がある。
・解決策：
　本脆弱性を修正したパッチバージョン（BIND 9.16.15/9.11.31）への更新、あるいは、各ディストリビューションベンダーからリリースされる更新の適用

○GSS-TSIG による認証処理時にGSS-API で用いられる SPNEGO 実装の不備によりバッファオーバーフローが発生する（CVE-2021-25216）
・影響を受けるシステム：
　BIND 9.5.0以降のすべてのバージョンのBIND 9が該当
・概要：
BIND 9.xにはGSS-APIで使われるSPNEGOの実装にバッファオーバーフローを引き起こす不具合があり、GSS-TSIGが有効に設定されている場合、外部からの攻撃が可能になる。
・解決策：
　本脆弱性を修正したパッチバージョン（BIND 9.16.15/9.11.31）への更新、あるいは、各ディストリビューションベンダーからリリースされる更新の適用

《ScanNetSecurity》