Cisco Japan Blog

注目の脆弱性:Internet Systems Consortium の BIND サーバにおける DoS の脆弱性

1 min read



Internet Systems Consortium の BIND サーバには、libuv ライブラリを介して TCP トラフィックを処理する際に発現する、DoS の脆弱性が存在します。攻撃者はこの脆弱性をエクスプロイトすることで TCP ポートをフラッディングし、サービスを停止に追い込める可能性があります。

Internet Systems Consortium の BIND ネームサーバは、インターネットのドメインネームシステムの基準となる実装と見なされています。このサーバは公的なネームサーバとして機能するとともに、ネットワーク上のドメイン名照会の再帰的キャッシュとしても機能します。今回の脆弱性はこのコードにのみ影響し、他の DNS ソフトウェアには影響しません。

Cisco Talos は情報開示方針に従って ISC と協力し、今回の脆弱性が解決済みであり、影響を受けた利用者向けにアップデートpopup_iconが利用可能であることを確認しています。

脆弱性の詳細

Internet Systems Consortium BIND サーバで発見された、TCP 受信バッファ長アサーションチェックに起因するサービス妨害の脆弱性(TALOS-2020-1100/CVE-2020-8620

Internet Systems Consortium の BIND サーバのバージョン 9.16.1 ~ 9.17.1 では、libuv ライブラリを介して TCP トラフィックを処理する際、アサーションチェックに失敗する可能性があります。ライブラリのコールバックで指定されたバッファ長が原因となり、大規模な DNS 要求(AXFR)に使用されるサーバ TCP ポートでフラッディングが発生すると、libuv ライブラリからサーバに渡された長さがサーバ側検証のアサーションチェックに失敗する場合があります。このアサーションチェックが原因でサービスが停止し、サービス妨害状態が発生する可能性があります。攻撃者は、この脆弱性をトリガーするために、未認証のパケットを使用してポートのフラッディングを試みる可能性があります。

脆弱性のアドバイザリ全文はこちらpopup_iconをご覧ください。

脆弱性が確認されたバージョン

Talos では、 BIND サーバのバージョン 9.16.1 ~ 9.17.1 が今回の脆弱性の影響を受けることをテストして確認済みです。

カバレッジ

脆弱性のエクスプロイトは、以下の SNORTⓇ ルールで検出できます。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。

Snort ルール:54494

 

本稿は 2020 年 8 月 20 日に Talos Grouppopup_icon のブログに投稿された「 Vulnerability Spotlight: Internet Systems Consortium BIND server DoSpopup_icon」の抄訳です。

 

コメントを書く