注目の脆弱性:Internet Systems Consortium の BIND サーバにおける DoS の脆弱性
Internet Systems Consortium の BIND サーバには、libuv ライブラリを介して TCP トラフィックを処理する際に発現する、DoS の脆弱性が存在します。攻撃者はこの脆弱性をエクスプロイトすることで TCP ポートをフラッディングし、サービスを停止に追い込める可能性があります。
Internet Systems Consortium の BIND ネームサーバは、インターネットのドメインネームシステムの基準となる実装と見なされています。このサーバは公的なネームサーバとして機能するとともに、ネットワーク上のドメイン名照会の再帰的キャッシュとしても機能します。今回の脆弱性はこのコードにのみ影響し、他の DNS ソフトウェアには影響しません。
Cisco Talos は情報開示方針に従って ISC と協力し、今回の脆弱性が解決済みであり、影響を受けた利用者向けにアップデート
が利用可能であることを確認しています。
脆弱性の詳細
Internet Systems Consortium の BIND サーバで発見された、TCP 受信バッファ長アサーションチェックに起因するサービス妨害の脆弱性(TALOS-2020-1100/CVE-2020-8620)
Internet Systems Consortium の BIND サーバのバージョン 9.16.1 ~ 9.17.1 では、libuv ライブラリを介して TCP トラフィックを処理する際、アサーションチェックに失敗する可能性があります。ライブラリのコールバックで指定されたバッファ長が原因となり、大規模な DNS 要求(AXFR)に使用されるサーバ TCP ポートでフラッディングが発生すると、libuv ライブラリからサーバに渡された長さがサーバ側検証のアサーションチェックに失敗する場合があります。このアサーションチェックが原因でサービスが停止し、サービス妨害状態が発生する可能性があります。攻撃者は、この脆弱性をトリガーするために、未認証のパケットを使用してポートのフラッディングを試みる可能性があります。
脆弱性のアドバイザリ全文はこちらをご覧ください。
脆弱性が確認されたバージョン
Talos では、 BIND サーバのバージョン 9.16.1 ~ 9.17.1 が今回の脆弱性の影響を受けることをテストして確認済みです。
カバレッジ
脆弱性のエクスプロイトは、以下の SNORTⓇ ルールで検出できます。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。
Snort ルール:54494
本稿は 2020 年 8 月 20 日に Talos Group
Tags:
