---------------------------------------------------------------------
■（緊急）BIND 9.16.19の脆弱性（DNSサービスの停止）について
  （CVE-2021-25218）
  - BIND 9.16.19のみが対象、バージョンアップを強く推奨 -

                                株式会社日本レジストリサービス（JPRS）
                                            初版作成 2021/08/19（Thu）
---------------------------------------------------------------------
▼概要

  BIND 9.16.19における実装上の不具合により、namedに対する外部からのサー
  ビス不能（DoS）攻撃が可能となる脆弱性が、開発元のISCから発表されまし
  た。本脆弱性により、提供者が意図しないDNSサービスの停止が発生する可能
  性があります。

  該当するBIND 9のパッケージを利用しているユーザーは、各ディストリビュー
  ションベンダーからリリースされる情報の収集やバージョンアップなど、適
  切な対応を速やかに取ることを強く推奨します。

  本脆弱性は、BIND 9.16.19のみが対象となります。

▼詳細

▽本脆弱性の概要

  DNS Response Rate Limiting（以下、DNS RRL）[*1]は、DNSリフレクター攻
  撃[*2]の効果を軽減するために開発された技術です。DNS RRLはIPアドレス
  によるアクセスコントロールの適用が難しい、権威DNSサーバーを利用した
  DNSリフレクター攻撃の対策に特に有効です。

  [*1] DNS Response Rate Limiting (DNS RRL)
       <https://www.isc.org/pubs/tn/isc-tn-2012-1.txt>

  [*2] JPRS用語辞典｜DNSリフレクター攻撃（DNSアンプ攻撃）
       <https://jprs.jp/glossary/index.php?ID=0156>

  BIND 9.16.19にはDNS RRLの実装に不具合があり、DNS RRLが有効に設定され
  ており[*3]、かつ、UDPによる応答サイズが送信対象のネットワークインター
  フェースのMTU[*4]よりも大きい場合、namedが異常終了する可能性がありま
  す[*5]。

  [*3] DNS RRLは通常のDNSデータで使われるINTERNET（IN）クラスではデフォ
       ルトで無効ですが、CHAOS（CH）クラスではデフォルトで有効です。

  [*4] Maximum Transmission Unit：当該ネットワークで扱える最大転送単位。

  [*5] 本脆弱性によりnamedが異常終了した場合、assertion failureを引き
       起こした旨のメッセージがログに出力されます。

  そのため、外部の攻撃者がこの状況を発生させることができた場合、当該サー
  バーのDNSサービスを停止させることが可能になります。

▽対象となるバージョン

  本脆弱性は、以下のバージョンのBIND 9が該当します。

  ・9.16系列：9.16.19

▽影響範囲

  ISCは、本脆弱性の深刻度（Severity）を「高（High）」と評価しています。

  ISCでは、本脆弱性が顕在化する条件として、以下の二つを挙げています。

  ・namedの設定ファイル（通常はnamed.conf）において、max-udp-sizeにネッ
    トワークインターフェースのMTUよりも大きな値を設定している場合

  ・namedが動作するシステムにおいて、Path MTU Discovery（PMTUD）を用い
    た外部からのMTUの設定が許可されている場合

  本脆弱性については、以下の脆弱性情報[*6]も併せてご参照ください。

  [*6] CVE - CVE-2021-25218
       <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25218>

▼一時的な回避策

  CHAOSクラスを含む、すべてのview[*7]でDNS RRLを無効にすることで、本脆
  弱性を回避できます。CHAOSクラスのviewでDNS RRLを無効にする際の設定方
  法については、参考リンクに掲載したISCの情報をご参照ください。

  [*7] 問い合わせ元の属性（例：送信元IPアドレス）ごとに異なる応答を返せ
       るようにするための設定・機能。BINDを含む、複数のDNSサーバーソフ
       トウェアに実装されている。

  なお、DNS RRLを無効にした場合、当該機能によるDNSリフレクター攻撃の効
  果の軽減も無効になります。

▼解決策

  本脆弱性を修正したパッチバージョン（BIND 9.16.20）への更新、あるいは、
  各ディストリビューションベンダーからリリースされる更新の適用を、速や
  かに実施してください。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、
  適切な対応を取ることを強く推奨します。

  - ISC

   セキュリティアドバイザリ

    CVE-2021-25218: A too-strict assertion check could be triggered
                    when responses in BIND 9.16.19 and 9.17.16 require
                    UDP fragmentation if RRL is in use
    <https://kb.isc.org/docs/cve-2021-25218>

   パッチバージョンの入手先

    BIND 9.16.20
    <https://ftp.isc.org/isc/bind9/9.16.20/bind-9.16.20.tar.xz>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ
  さい。

---------------------------------------------------------------------
▼更新履歴
  2021/08/19 10:00 初版作成