2020年6月17日 (米国時間) に ISC から ISC BIND 9 の脆弱性 (CVE-2020-8618、CVE-2020-8619) についての情報が公開されました。脆弱性が悪用されると、リモートからの攻撃によって、named が異常終了する可能性があります。
ISC は、この脆弱性の深刻度を中 (Medium) と評価しています。対象となる BIND を使用するユーザは、ISC や各ディストリビュータの情報に注意し、バージョンアップや回避策の適用などの対応を進めることを検討してください。詳細は、ISC などが提供する情報を参照してください。
[CVE-2020-8618 の影響を受けるバージョン]
- BIND 9.16.0 から BIND 9.16.3 まで
[CVE-2020-8619 の影響を受けるバージョン]
- BIND 9.16.0 から BIND 9.16.3 まで
- BIND 9.14.9 から BIND 9.14.12 まで
- BIND 9.11.14 から BIND 9.11.19 まで
- BIND Supported Preview Edition 9.11.14-S1 から BIND 9.11.19-S1 まで
Internet Systems Consortium, Inc. (ISC)
CVE-2020-8618: A buffer boundary check assertion in rdataset.c can fail incorrectly during zone transfer
https://kb.isc.org/docs/cve-2020-8618
Internet Systems Consortium, Inc. (ISC)
CVE-2020-8619: An asterisk character in an empty non-terminal can cause an assertion failure in rbtdb.c
https://kb.isc.org/docs/cve-2020-8619
日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8618)- バージョンアップを推奨 -
https://jprs.jp/tech/security/2020-06-18-bind9-vuln-zone-transfer.html
日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8619)- バージョンアップを推奨 -
https://jprs.jp/tech/security/2020-06-18-bind9-vuln-asterisk.html
CyberNewsFlash は、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp