■概要
InterSec/MW、InterSecVM/MWのDNSサーバにおいては脆弱性の影響を受ける場合があります。
■対処方法
本脆弱性に該当する場合は、脆弱性に対処するために、■関連情報に掲載のある
『【InterSec/MW,InterSecVM/MW】BIND脆弱性に対処したパッケージの個別提供』
で公開しているパッケージへのアップデートを実施してください。
※今後更新される可能性もありますことに予めご留意ください。
■詳細
・CVE-2018-5740
本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があります。
なお、本脆弱性は設定ファイルにおいて、deny-answer-aliases機能を有効にして
いる場合にのみ該当します。
https://jprs.jp/tech/security/2018-08-09-bind9-vuln-deny-answer-aliases.html
⇒「■BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2018-5740)」
・CVE-2018-5741
本脆弱性により、外部の攻撃者がDynamic Updateを用いて、ゾーンデータを不正に
更新する可能性があります。なお、本脆弱性はnamedの設定ファイルにおいて、
update-policy機能を用いたDynamic Updateの制御を設定しており、かつ、
krb5-subdomainまたはms-subdomainルールタイプを設定している場合にのみ 該当します。
https://jprs.jp/tech/security/2018-09-20-bind9-vuln-krb5-subdomain.html
⇒「■BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可)について(CVE-2018-5741)」
・CVE-2018-5745
本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があります。
なお、本脆弱性はnamedの設定ファイルにおいて、 managed-keys機能を設定している
場合にのみ該当します。
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-managed-keys.html
⇒「■BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2018-5745)」
・CVE-2019-6465
本脆弱性によりサービス提供者が意図しない形でゾーン転送が実行され、悪意を持つ第三者
にゾーンデータが流出する可能性があります。
本脆弱性は、namedにおいてDynamically Loadable Zones(DLZ)の機能を設定している場合に
のみ対象となります。
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-dlz.html
⇒「■BIND 9.xの脆弱性(アクセス制限の不具合によるゾーンデータの流出)について(CVE-2019-6465)」
・CVE-2018-5743
本脆弱性によりnamedプロセスのファイル記述子が過度に消費され、namedのネットワーク接続や、
ログファイル/ゾーンジャーナルファイルの取り扱いなどに悪影響を及ぼす可能性があります。
https://jprs.jp/tech/security/2019-04-25-bind9-vuln-tcp-clients.html
⇒「■(緊急)BIND 9.xの脆弱性(ファイル記述子の過度な消費)について(CVE-2018-5743)」
・CVE-2020-8616
本脆弱性により、namedの負荷上昇によるパフォーマンスの低下や、リフレクション攻撃[*1]
の踏み台として悪用される状況が発生する可能性があります。
[*1] インターネット上のホストにデータを反射(リフレクション)させることでサイズの増幅
や攻撃元の隠蔽を図る攻撃手法。
https://jprs.jp/tech/security/2020-05-20-bind9-vuln-processing-referrals.html
⇒「「■(緊急)BIND 9.xの脆弱性(パフォーマンスの低下・リフレクション攻撃の踏み台化)について(CVE-2020-8616)」
・CVE-2020-8617
TSIGリソースレコードを含むメッセージの有効性のチェックに不具合があり、特別に細工された
メッセージを受け取った場合にnamedの異常終了や、異常な動作が発生する可能性があります。
本脆弱性により、提供者が意図しないサービスの停止や、異常な動作が発生する可能性があります。
https://jprs.jp/tech/security/2020-05-20-bind9-vuln-tsig.html
⇒「■(緊急)BIND 9.xの脆弱性(DNSサービスの停止・異常な動作)について(CVE-2020-8617)」
・CVE-2019-6477
本脆弱性によりnamedが動作するサーバーのシステムリソースが過度に消費され、結果としてサービスの
一時停止や品質低下などが発生する可能性があります。
https://jprs.jp/tech/security/2019-11-21-bind9-vuln-tcp-pipelining.html
⇒「■(緊急)BIND 9.xの脆弱性(システムリソースの過度な消費)について (CVE-2019-6477)」
・CVE-2020-8619
ドメイン名のラベルに任意の文字コード(0~255)を使用できます。
そのため、ドメイン名のいずれかの箇所にラベル"*"が含まれていても、
プロトコルには違反しません。
ラベル"*"の処理に不具合があり、ドメイン名の終端(一番左)以外の箇所に
ラベル"*"が含まれるドメイン名が存在した場合、そのドメイン名を管理する
内部処理に矛盾が発生し、異常終了する可能性があります。
本脆弱性により、提供者が意図しないDNSサービスの停止が発生する可能性があります。
https://jprs.jp/tech/security/2020-06-18-bind9-vuln-asterisk.html
■BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8619)
・CVE-2020-8622
TSIG署名された問い合わせに対し、切り詰められた応答を受け取った際の
確認処理に不具合があり、当該メッセージを受け取った際に異常終了する
可能性があります。
本脆弱性により、提供者が意図しないDNSサービスの停止が発生する可能性があります。
https://jprs.jp/tech/security/2020-08-21-bind9-vuln-tsig.html
■BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8622)
・CVE-2021-25214
本脆弱性により、提供者が意図しないDNSサービスの停止が発生する可能性があります。
本脆弱性は差分ゾーン転送(IXFR)の不具合に由来するものであり、セカンダリサーバー
として設定されている場合のみ対象となります。
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-ixfr.html
⇒「■BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2021-25214)」
・CVE-2021-25215
不正に作成されたDNAMEレコードを含むメッセージの処理において、namedが異常終了する
可能性があります。
本脆弱性により、提供者が意図しないDNSサービスの停止が発生する可能性があります。
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-dname.html
⇒「■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2021-25215)」
各脆弱性の影響有無については以下を参照下さい。
| CVE |
InterSec/MW400 |
InterSecVM/MW |
| MW400l2 |
MW400l |
MW400k |
MW400j |
MW400i2 |
6.0 |
5.0 |
4.0 |
3.0 |
| CVE-2018-5740 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
| CVE-2018-5741 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
| CVE-2018-5745 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
| CVE-2019-6465 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
| CVE-2018-5743 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
| CVE-2020-8616 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
| CVE-2020-8617 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
| CVE-2019-6477 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
| CVE-2020-8619 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
| CVE-2020-8622 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
| CVE-2021-25214 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
| CVE-2021-25215 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
〇 |
※ 「〇」は、影響ありとなります。
■脆弱性の影響を受けるサービス
・BIND脆弱性の影響を受けるサービス
- ネームサーバ(named)サービス
以下のオプションにおけるDNS関連機能も影響の範囲に含まれます。
- InterSec/MW DNS/DHCP強化オプション
- InterSecVM/MW DNS/DHCP強化ライセンス
■脆弱性の影響を受けないサービス
以下のサービスは本脆弱性の影響を受けません。
- メールコントローラ(MWMCTL)
- メールサーバ(dovecot)
- Webサーバ(httpd)
- WEBMAIL-Xサーバ(webmail-httpd)
- リモートシェル(sshd)
- DHCPサーバ(dhcpd)
- 時刻調整(ntpd)
- ネットワーク管理エージェント(snmpd)
- ファイル転送(vsftpd)
- システム監視(MW_MONITOR)
- サービス監視(chksvc)
- ディレクトリサーバ(openldap)
- 二重化機能(二重化構成構築キット、二重化構成構築ライセンス)
CLUSTERPRO Xが動作していますが、本脆弱性の影響はありません。
(※ご利用の製品によっては提供していないサービスもあります)
■想定される影響
本脆弱性により、悪意を持つ第三者からの不正なアクセスにより、DNSサーバへの
正規のアクセスが行えなくなるなど影響を及ぼす可能性があります。ご利用の製品
の影響の有無をご確認の上、対処を行ってください。