United States Computer Emergency Readiness Team (US-CERT)は5月20日(米国時間)、「ISC Releases Security Advisory for BIND|CISA」において、ISC BIND 9に脆弱性が複数存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってサービス妨害攻撃(DoS: Denial of Service attack)を引き起こされる危険性がある。
セキュリティ脆弱性に関する情報は次のページにまとまっている。
- CVE-2020-8616: BIND does not sufficiently limit the number of fetches performed when processing referrals - Security Advisories
- CVE-2020-8617: A logic error in code which checks TSIG validity can be used to trigger an assertion failure in tsig.c - Security Advisories
脆弱性「CVE-2020-8616」 は、DNSの名前解決の動作に起因しており、リモートからの攻撃によって、フルリゾルバを DNS リフレクション攻撃に利用されたり、フルリゾルバのパフォーマンスを低下させられたりする恐れがある。
脆弱性「CVE-2020-8617」は、TSIG リソースレコードを含むメッセージの有効性のチェックの不具合に起因しており、特別に細工されたメッセージを受け取った場合に named の異常終了や、異常な動作が発生する可能性がある。
脆弱性が存在するプロダクトおよびバージョンは次のとおり。既にサポートが終了している BIND 9.10系以前や 9.12系、9.13系、9.15系および開発版の 9.17系もこの脆弱性の影響を受けるという。
- BIND 9.16.0から9.16.2までのバージョン
- BIND 9.14.0から9.14.11までのバージョン
- BIND 9.12.0から9.12.4-P2までのバージョン
- BIND 9.11.0から9.11.18までのバージョン
- BIND Supported Preview Edition 9.9.3-S1から9.11.18-S1までのバージョン
セキュリティ脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- BIND 9.16.3
- BIND 9.14.12
- BIND 9.11.19
- BIND Supported Preview Edition 9.11.19-S1
これらセキュリティ脆弱性は深刻度が重大(High)に分類されており注意が必要。