ISC BIND にバッファオーバーフローの脆弱性 | Gauge 脆弱性情報通知サービス

区分
JVN番号
タイトル
JVN
深刻度
最終更新日
CVE番号

Update
JVNDB-2021-001029
ISC BIND にバッファオーバーフローの脆弱性
8.1
2021/05/11 14:03
CVE-2020-8625

JVNDB-2021-001029

ISC BIND にバッファオーバーフローの脆弱性

概要

ISC (Internet Systems Consortium) が提供する BIND には、バッファオーバーフローの脆弱性が存在します。

BIND には TSIG プロトコルの拡張機能である GSS-TSIG の、GSSAPI に基づくネゴシエーションメカニズム SPNEGO の実装不備によりバッファオーバーフローの脆弱性が存在します。

想定される影響と対策

GSSAPI に関するオプション tkey-gssapi-keytab または tkey-gssapi-credential に有効な値が明示的に設定されている場合に named プロセスのクラッシュが引き起こされ、サービス運用妨害 (DoS) 状態にされる可能性があります。開発者によると、2021年2月18日時点では実証されていませんが、リモートでコード実行できる可能性があると報告しています。
[アップデートする] 開発者が提供する情報をもとに、使用しているバージョンの最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。　* BIND 9.11.28 　* BIND 9.16.12 　* BIND Supported Preview Edition 9.11.28-S1 　* BIND Supported Preview Edition 9.16.12-S1 　 [ワークアラウンドを実施する] 　* GSS-TSIG を使用しない　* 一部のプラットフォームで BIND ビルド時、ソースディレクトリのトップにある configure スクリプトを実行する際 --disable-isc-spnego をコマンドライン引数に指定し、SPNEGO を組み込まない named を作成する (ただし、GSSAPI が使用できなくなる可能性があります)

JVN情報　※( )内はCVSS v2の値

              深刻度
              8.1
              
            
CVECVE-2020-8625
公表日2021/02/18 00:00
登録日2021/02/19 16:59
更新日2021/05/11 14:03

CVSS v3情報

…

全ての情報を閲覧するにはユーザー登録（無料）またはログインが必要です。: 新規登録

ログイン

Update
JVNDB-2021-001029
ISC BIND にバッファオーバーフローの脆弱性
8.1
2024/03/04 18:03
CVE-2020-8625