I. 概要
ISC BIND 9には、SPNEGO実装におけるバッファーオーバーフローの脆弱性(CVE-2020-8625)があります。
SPNEGOは、GSS-TSIGに基づく鍵交換で使用されるGSS-APIにおいて認証メカニズムを提供しています。
本脆弱性が悪用されると、遠隔の第三者がサービス運用妨害(DoS)などを引き起こす可能性があります。
参考: https://www.jpcert.or.jp/at/2021/at210010.htm

ISCは、本脆弱性に対する深刻度を「高(High)」と評価しています。脆弱性の詳細については、ISCの情報を確認してください。

Internet Systems Consortium, Inc. (ISC)
CVE-2020-8625: A vulnerability in BIND’s GSSAPI security policy negotiation can be targeted by a buffer overflow attack
https://kb.isc.org/docs/cve-2020-8625

影響を受けるバージョンのISC BIND 9を運用している場合は、「III.対策」を参考に修正済みバージョンの適用について検討してください。


II. 対象
対象となる製品とバージョンは次のとおりです。

– BIND 9.16系9.16.0から9.16.11まで
– BIND 9.11系9.11.0から9.11.27まで
– BIND 9 Supported Preview Edition 9.16.8-S1から9.16.11-S1まで
– BIND 9 Supported Preview Edition 9.11.3-S1から9.11.27-S1まで

設定ファイルにおいて、GSS-APIに関するオプション(tkey-gssapi-keytabまたはtkey-gssapi-credential)を指定している場合に対象となります。
なお、すでにサポートが終了しているBIND 9.10系以前や9.12系から9.15系まで、および開発版の9.17系についても影響を受けるとのことです。

ディストリビューターが提供しているBINDをお使いの場合は、使用中のディストリビューターなどの情報を参照してください。


III. 対策
ISCから脆弱性を修正したバージョンのISC BIND 9が公開されています。
また、今後各ディストリビューターなどからも、修正済みのバージョンが提供されると思われるため、十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。

– BIND 9.16.12
– BIND 9.11.28
– BIND 9 Supported Preview Edition 9.16.12-S1
– BIND 9 Supported Preview Edition 9.11.28-S1


IV. 参考情報
株式会社日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止・リモートコード実行)について(CVE-2020-8625)- GSS-TSIGが有効に設定されている場合のみ対象、バージョンアップを強く推奨 –
https://jprs.jp/tech/security/2021-02-18-bind9-vuln-gsstsig.html

Internet Systems Consortium, Inc. (ISC)
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/docs/aa-00913