Published: 2025-05-28 08:00
ISC BIND に不正な TSIG を含む DNSメッセージの不適切な処理の脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月22日、ISC BINDにおける不正なTSIGを含むDNSメッセージの不適切な処理の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
BIND 9.20.0から9.20.8まで
BIND 9.21.0から9.21.7まで
※BIND 9.18.0より前のバージョンは影響有無の確認をしていない
ISC(Internet Systems Consortium)が提供するISC BINDは、受信したDNSメッセージにトランザクション署名(TSIG)が含まれる場合、常にそれをチェックしているが、TSIGのアルゴリズムフィールドに不正な値が含まれる場合、アサーションエラーが発生し、直ちに処理が中止される脆弱性(CVE-2025-40775)が存在する。
想定される影響としては、遠隔の攻撃者によって細工されたメッセージを送信された場合、namedが異常終了する可能性がある。
JVNでは、開発者が提供する情報をもとに最新のパッチバージョンにアップグレードするよう呼びかけている。なお本脆弱性は、下記のバージョンで修正されている。
9.20.9
9.21.8
株式会社日本レジストリサービス(JPRS)でも5月22日に、BIND 9.20.xの脆弱性(DNSサービスの停止)について(CVE-2025-40775)発表している。
JPRSでは、ISCが脆弱性の深刻度(Severity)を「高(High)」と評価していることを挙げ、本脆弱性は、下記の理由から広い範囲での適切な緊急対策が必要となるとしている。
・外部から該当する問い合わせパケットを一つ送りつけるだけで、namedを異常終了させられること
・フルリゾルバー及び権威DNSサーバーの双方が対象となること
・TSIGを設定・利用していない場合も対象となること
・namedの設定ファイル(named.conf)によるアクセスコントロール(ACL)や設定オプションの変更では、影響を回避・軽減できないこと
| # | 言葉 | 意味 |
|---|---|---|
| 6 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 4 | 影響 | えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on |
| 3 | 含む | ふくむ (含む) : 1. to contain; to comprise; to have; to hold; to include; to embrace 2. to hold in the mouth |
| 2 | 不正 | ふせい (不正) : injustice; unfairness; wrongdoing; iniquity; impropriety; irregularity; dishonesty; illegality; fraud |
| 2 | 処理 | しょり (処理) : processing; dealing with; treatment; disposition; disposal |
| 2 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 2 | 提供 | ていきょう (提供) : 1. offer; tender; providing; supplying; making available; donating (blood, organs, etc.) 2. sponsoring (a TV program) |
| 2 | 異常終了 | いじょうしゅうりょう (異常終了) : abnormal termination (e.g. of a program); ABnormal END; ABEND |
| 2 | 下記 | かき (下記) : the following |
| 2 | 対象 | たいしょう (対象) : target; object (of worship, study, etc.); subject (of taxation, etc.) |
| 2 | 設定 | せってい (設定) : 1. establishment; creation; posing (a problem); setting (movie, novel, etc.); scene 2. options setting; preference settings; configuration; setup |
| 1 | 独立行政法人 | どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency) |
| 1 | 情報処理推進機構 | じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization) |
| 1 | および | および (及び) : and; as well as |
| 1 | 一般社団法人 | いっぱんしゃだんほうじん (一般社団法人) : general incorporated association |
| 1 | おく | おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart |
| 1 | 不適切 | ふてきせつ (不適切) : unsuitable; inappropriate; improper |
| 1 | 通り | とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic |
| 1 | 有無 | うむ (有無) : 1. existence or nonexistence; presence or absence 2. consent or refusal; yes or no |
| 1 | 確認 | かくにん (確認) : confirmation; verification; validation; review; check; affirmation; identification |
| 1 | 受信 | じゅしん (受信) : receiving (a message, letter, email, etc.); reception (radio, TV, etc.) |
| 1 | 署名 | しょめい (署名) : signature |
| 1 | 常 | とこ (常) : constant; unchanging; eternal |
| 1 | 値 | あたい (値) : 1. price; cost 2. value; worth; merit |
| 1 | 発生 | はっせい (発生) : 1. outbreak; spring forth; occurrence; incidence 2. generation (e.g. of power or heat); genesis; origin |
| 1 | 直ちに | ただちに (直ちに) : 1. at once; immediately; right away; without delay 2. directly (face, lead to, etc.); automatically (mean, result in, etc.) |
| 1 | 中止 | ちゅうし (中止) : suspension; stoppage; discontinuance; interruption |
| 1 | 存在 | そんざい (存在) : existence; being |
| 1 | 想定 | そうてい (想定) : hypothesis; supposition; assumption |
| 1 | 遠隔 | えんかく (遠隔) : distant; remote; isolated |
| 1 | 攻撃者 | こうげきしゃ (攻撃者) : aggressor; assailant; invader |
| 1 | よる | よる (因る) : 1. to be due to; to be caused by 2. to depend on; to turn on |
| 1 | 細工 | さいく (細工) : 1. work; workmanship; craftsmanship; handiwork 2. artifice; trick; device; tampering; doctoring |
| 1 | 送信 | そうしん (送信) : transmission; sending |
| 1 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 1 | 開発者 | かいはつしゃ (開発者) : developer |
| 1 | 情報 | じょうほう (情報) : 1. information; news; intelligence; advices 2. information; data contained in characters, signals, code, etc. |
| 1 | もと | もと (元) : 1. origin; source 2. base; basis; foundation; root |
| 1 | 最新 | さいしん (最新) : latest; newest; late-breaking (news) |
| 1 | 呼びかける | よびかける (呼びかける) : 1. to call out to; to hail; to address 2. to appeal |
| 1 | なお | なお (尚) : 1. still; yet 2. more; still more; greater; further |
| 1 | 修正 | しゅうせい (修正) : amendment; correction; revision; modification; alteration; retouching; update; fix |
| 1 | 株式会社 | かぶしきがいしゃ (株式会社) : stock company; corporation; kabushiki kaisha; KK |
| 1 | 日本 | にほん (日本) : Japan |
| 1 | 停止 | ていし (停止) : 1. stoppage; coming to a stop; halt; standstill 2. ceasing (movement, activity, etc.); suspension (of operations); interruption (e.g. of electricity supply); cutting off |
| 1 | 深刻 | しんこく (深刻) : serious; severe; grave; acute |
| 1 | 評価 | ひょうか (評価) : 1. valuation; appraisal; evaluation; assessment; estimation; rating; judging 2. appreciation; recognition; acknowledgement; rating highly; praising |
| 1 | 範囲 | はんい (範囲) : extent; scope; sphere; range; span |
| 1 | 適切 | てきせつ (適切) : appropriate; suitable; fitting; apt; proper; right; pertinent; relevant |
| 1 | 緊急 | きんきゅう (緊急) : urgency; emergency |
| 1 | 対策 | たいさく (対策) : measure; step; countermeasure; counterplan; countermove; strategy; preparation (e.g. for a test) |
| 1 | 外部 | がいぶ (外部) : 1. outside (e.g. of a building); exterior 2. outside (of a group, company, etc.); outside world |
| 1 | 該当 | がいとう (該当) : corresponding to; being applicable to; being relevant to; coming under; falling under; fulfilling (requirements); meeting (conditions); qualifying for |
| 1 | 問い合わせ | といあわせ (問い合わせ) : enquiry; inquiry; query; interrogation; ENQ |
| 1 | 送りつける | おくりつける (送り付ける) : to send (something unsolicited); to send without the receiver's request |
| 1 | 及び | および (及び) : and; as well as |
| 1 | 権威 | けんい (権威) : authority; power; influence |
| 1 | 双方 | そうほう (双方) : both parties; both sides |
| 1 | 設定ファイル | せっていファイル (設定ファイル) : setup file |
| 1 | 変更 | へんこう (変更) : change; modification; alteration; revision; amendment |
| 1 | 回避 | かいひ (回避) : evasion; avoidance |
| 1 | 軽減 | けいげん (軽減) : abatement; reduction |