JVNDB-2020-004591
|
ISC BIND 9 に複数の脆弱性
|
ISC (Internet Systems Consortium) が提供する BIND には、複数の脆弱性が存在します。
* DNS の名前解決動作の制御が不十分 - CVE-2020-8616
* tsig.c でアサーションエラーが発生する - CVE-2020-8617
|
CVSS v3 による深刻度 基本値: 8.6 (重要) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 高
※上記は、CVE-2020-8616の評価になります。
|
CVSS v3 による深刻度
基本値:
7.5 (重要) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): なし
-
完全性への影響(I): なし
-
可用性への影響(A): 高
※上記は、CVE-2020-8617 の評価になります。
|
CVE-2020-8616、CVE-2020-8617 ともに、以下のバージョンが影響を受けます。
|
ISC, Inc.
- BIND 9.16.0 から 9.16.2
- BIND 9.14.0 から 9.14.11
- BIND 9.12.0 から 9.12.4-P2
- BIND 9.11.0 から 9.11.18
- BIND Supported Preview Edition 9.9.3-S1 から 9.11.18-S1 まで
|
なお、開発版の BIND 9.13 系、9.15 系、9.17 系、すでにサポートが終了している BIND 9.0 系から 9.10 系、9.10-S 系、9.12 系、9.13 系も影響を受けます。
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
* 細工された委任情報を処理することによって、サービス運用妨害 (DoS) 攻撃を受けたり、他のサーバに対するサービス運用妨害 (DoS) 攻撃に使用される - CVE-2020-8616
* 細工された TSIG レコードを処理することによって、サービス運用妨害 (DoS) 攻撃を受ける - CVE-2020-8617
|
[アップデートする]
開発者が提供する情報をもとに、使用しているバージョンの最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。
* BIND 9.16.3
* BIND 9.14.12
* BIND 9.11.19
* BIND Supported Preview Edition 9.11.19-S1
|
ISC, Inc.
|
- リソースの枯渇(CWE-400) [NVD評価]
- 到達可能なアサーション(CWE-617) [NVD評価]
|
- CVE-2020-8616
- CVE-2020-8617
|
- JVN : JVNVU#92065932
- National Vulnerability Database (NVD) : CVE-2020-8616
- National Vulnerability Database (NVD) : CVE-2020-8617
- 関連文書 : NXNSAttack
- 関連文書 : (緊急)BIND 9.xの脆弱性(パフォーマンスの低下・リフレクション攻撃の 踏み台化)について(CVE-2020-8616)
- 関連文書 : (緊急)BIND 9.xの脆弱性(DNSサービスの停止・異常な動作)について (CVE-2020-8617)
|
|