SC BIND 9の複数の脆弱性に関する注意喚起

I. 概要
ISC BIND 9には、複数の脆弱性があります。
脆弱性が悪用されると、遠隔の第三者がnamedの異常終了やリモートコード実行などを引き起こす可能性があります。
参考：https://www.jpcert.or.jp/at/2021/at210021.html

ISCは、脆弱性CVE-2021-25215とCVE-2021-25216に対する深刻度を「高（High）」、脆弱性CVE-2021-25214に対する深刻度を「中（Medium）」と評価しています。
脆弱性の詳細はISCの情報を確認してください。

Internet Systems Consortium, Inc.（ISC）
CVE-2021-25214: A broken inbound incremental zone update (IXFR) can cause named to terminate unexpectedly
https://kb.isc.org/docs/cve-2021-25214

Internet Systems Consortium, Inc.（ISC）
CVE-2021-25215: An assertion check can fail while answering queries for DNAME records that require the DNAME to be processed to resolve itself
https://kb.isc.org/docs/cve-2021-25215

Internet Systems Consortium, Inc.（ISC）
CVE-2021-25216: A second vulnerability in BIND’s GSSAPI security policy negotiation can be targeted by a buffer overflow attack
https://kb.isc.org/docs/cve-2021-25216

影響を受けるバージョンのISC BIND 9を運用している場合、「III.対策」を参考に修正済みバージョンの適用を検討してください。

II. 対象
対象となる製品とバージョンは次のとおりです。

– BIND 9.16系9.16.0から9.16.13まで
– BIND 9.11系9.11.0から9.11.29まで
– BIND 9 Supported Preview Edition 9.16.8-S1から9.16.11-S3まで
– BIND 9 Supported Preview Edition 9.11.3-S1から9.11.29-S1まで

CVE-2021-25214は、namedの設定でゾーン転送を受け付けている場合にのみ影響を与えます。
CVE-2021-25216は、namedの設定ファイルでGSS-APIに関するオプション（tkey-gssapi-keytabまたはtkey-gssapi-credential）の値を明示的に指定している場合に影響を与えます。
なお、サポートが終了したBIND 9.10系以前、9.12系から9.15系まで、および開発版の9.17系も影響を受けます。
脆弱性の影響を受ける環境は、ISC BIND 9をActive Directoryのドメインコントローラーと組み合わせた混合サーバー環境に加え、ISC BIND 9がSambaと統合されているネットワークも含みます。

ディストリビューターが提供しているBINDをお使いの場合は、使用中のディストリビューターなどの情報を参照してください。

III. 対策
ISCは脆弱性を修正したバージョンのISC BIND 9を公開しました。
また、今後各ディストリビューターなども、修正済みのバージョンを提供すると思われます。
十分なテストを実施の上、更新の適用を検討してください。

– BIND 9.16.15
– BIND 9.11.31
– BIND 9 Supported Preview Edition 9.16.15-S1
– BIND 9 Supported Preview Edition 9.11.31-S1

IV. 参考情報
Internet Systems Consortium, Inc.（ISC）
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/docs/aa-00913

一般社団法人日本ネットワークインフォメーションセンター（JPNIC）
BIND 9における複数の脆弱性について(2021年4月)
https://www.nic.ad.jp/ja/topics/2021/20210429-01.html

株式会社日本レジストリサービス（JPRS）
BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2021-25214）- セカンダリサーバーのみ対象、バージョンアップを推奨 –
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-ixfr.html

株式会社日本レジストリサービス（JPRS）
（緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2021-25215）- バージョンアップを強く推奨 –
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-dname.html

株式会社日本レジストリサービス（JPRS）
（緊急）BIND 9.xの脆弱性（DNSサービスの停止・リモートコード実行）について（CVE-2021-25216）- GSS-TSIGが有効に設定されている場合のみ対象、バージョンアップを強く推奨 –
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-gsstsig.html