JVNDB-2020-007706
|
ISC BIND 9 に複数の脆弱性
|
|
ISC (Internet Systems Consortium) が提供する BIND には、複数の脆弱性が存在します。
* 最大バッファサイズの不適切な設定による tcpdns.c でアサーションエラーが発生する - CVE-2020-8620
* QNAME minimisation の意図しない許可により resolver.c でアサーションエラーが発生する - CVE-2020-8621
* 切り詰められた TSIG レスポンスの確認不備によりアサーションエラーが発生する - CVE-2020-8622
* pk11.c でアサーションエラーが発生する - CVE-2020-8623
* "update-policy" ルールの "subdomain" タイプの誤った判定によるアクセス制限の不備 - CVE-2020-8624
|
|
CVSS v3 による深刻度
基本値: 7.5 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 部分的
※上記は、CVE-2020-8620の評価になります。
|
CVSS v3 による深刻度
基本値:
7.5 (重要) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): なし
-
完全性への影響(I): なし
-
可用性への影響(A): 高
※上記は、CVE-2020-8621の評価になります。
|
CVSS v3 による深刻度
基本値:
6.5 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 低
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): なし
-
完全性への影響(I): なし
-
可用性への影響(A): 高
※上記は、CVE-2020-8622の評価になります。
|
CVSS v3 による深刻度
基本値:
7.5 (重要) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): なし
-
完全性への影響(I): なし
-
可用性への影響(A): 高
※上記は、CVE-2020-8623の評価になります。
|
CVSS v3 による深刻度
基本値:
4.3 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 低
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): なし
-
完全性への影響(I): 低
-
可用性への影響(A): なし
※上記は、CVE-2020-8624の評価になります。
|
|
CVE-2020-8620
BIND 9.16系 9.16.0 から 9.16.5 まで
CVE-2020-8621
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで
CVE-2020-8622
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで
BIND 9.11系 9.11.3 から 9.11.21 まで
BIND 9 Supported Preview Edition 9.9.3-S1 から 9.11.21-S1 まで
CVE-2020-8623
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで
BIND 9.11系 9.11.3 から 9.11.21 まで
BIND 9 Supported Preview Edition 9.10.5-S1 から 9.11.21-S1 まで
CVE-2020-8624
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで
BIND 9.11系 9.11.3 から 9.11.21 まで
BIND 9 Supported Preview Edition 9.9.12-S1 から 9.9.13-S1 まで
BIND 9 Supported Preview Edition 9.11.3-S1 から 9.11.21-S1 まで
なお ISC によると、既にサポートが終了している BIND 9.10系以前や 9.12系、9.13系、9.15系および開発版の 9.17系についても影響を受ける脆弱性があるとのことです。詳細については各アドバイザリを参照してください。
|
ISC, Inc.
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
* 遠隔の第三者が、特別に細工された大きな TCP ペイロードを送信することにより、サービス運用妨害 (DoS) 攻撃が行われる - CVE-2020-8620
* 遠隔の第三者が、細工されたクエリを送信することにより、サービス運用妨害 (DoS) 攻撃が行われる - CVE-2020-8621
* 遠隔の第三者が、TSIG 署名付きリクエストに対して、切り詰められたレスポンスを送信することにより、サービス運用妨害 (DoS) 攻撃が行われる- CVE-2020-8622
* 遠隔の第三者が、RSA で署名されたゾーンに対して、特別に細工されたクエリを送信することにより、サービス運用妨害 (DoS) 攻撃が行われる - CVE-2020-8623
* 遠隔の第三者によって、ゾーンデータを更新される - CVE-2020-8624
|
|
[アップデートする]
開発者が提供する情報をもとに、使用しているバージョンの最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。
* BIND 9.17.4
* BIND 9.16.6
* BIND 9.11.22
* BIND Supported Preview Edition 9.11.22-S1
|
|
ISC, Inc.
|
|
- 不適切な権限管理(CWE-269) [NVD評価]
|
|
- CVE-2020-8620
- CVE-2020-8621
- CVE-2020-8622
- CVE-2020-8623
- CVE-2020-8624
|
|
- JVN : JVNVU#98069467
- National Vulnerability Database (NVD) : CVE-2020-8620
- National Vulnerability Database (NVD) : CVE-2020-8621
- National Vulnerability Database (NVD) : CVE-2020-8622
- National Vulnerability Database (NVD) : CVE-2020-8623
- National Vulnerability Database (NVD) : CVE-2020-8624
- JPRS : BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8620)- バージョンアップを推奨 -
- JPRS : BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8621)- バージョンアップを推奨 -
- JPRS : BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8622)- バージョンアップを推奨 -
- JPRS : BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8623)- ビルド時に「--enable-native-pkcs11」を指定した場合にのみ対象、バージョンアップを推奨 -
- JPRS : BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可)について(CVE-2020-8624)- バージョンアップを推奨 -
|
|
|
