JVNVU#99441653
ISC BINDにおける複数の脆弱性

ISC（Internet Systems Consortium）が提供するISC BINDには、複数の脆弱性が存在します。

CVE-2023-2828

• BIND 9.11.0から9.16.41
• BIND 9.18.0から9.18.15
• BIND 9.19.0から9.19.13
• BIND 9.11.3-S1から9.16.41-S1（BIND Supported Preview Edition）
• BIND 9.18.11-S1から9.18.15-S1（BIND Supported Preview Edition）

• BIND 9.16.8-S1から9.16.41-S1（BIND Supported Preview Edition）
• BIND 9.18.11-S1から9.18.15-S1（BIND Supported Preview Edition）

• BIND 9.16.33から9.16.41
• BIND 9.18.7から9.18.15
• BIND 9.16.33-S1から9.16.41-S1（BIND Supported Preview Edition）
• BIND 9.18.11-S1から9.18.15-S1（BIND Supported Preview Edition）

ISC（Internet Systems Consortium）が提供するISC BINDには、次の複数の脆弱性が存在します。

• 特定のRRsetを特定の順序でリゾルバに問い合わせることによって、namedで使用されるキャッシュクリーニングアルゴリズムの効果が著しく低下し、設定された最大キャッシュサイズ制限を超過する - CVE-2023-2828
• DNSSEC-Validated Cache（RFC 8198）のオプション（synth-from-dnssec）が有効で、DNSSEC-Validating recursive resolverとして実行するようnamedインスタンスを設定している場合、不正なNSECレコードを持つゾーンを使用することによって予期せず終了する - CVE-2023-2829
• stale-answer-enable yes;およびstale-answer-client-timeout 0;の両方が設定されたBIND 9リゾルバでrecursive-clients quotaに達した場合、serve-staleに関連した一連のルックアップによりnamedがループし、スタックオーバーフローにより予期せず終了する - CVE-2023-2911

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• namedを実行しているホスト上で利用可能なメモリをすべて使い果たし、サービス運用妨害（DoS）状態を引き起こされる - CVE-2023-2828
• リゾルバに特定のクエリを送信することで、namedを終了させられる - CVE-2023-2829、CVE-2023-2911

アップデートする
開発者が提供する以下のパッチバージョンにアップデートしてください。
CVE-2023-2828

• BIND 9.16.42
• BIND 9.18.16
• BIND 9.19.14
• BIND 9.16.42-S1（BIND Supported Preview Edition）
• BIND 9.18.16-S1（BIND Supported Preview Edition）

• BIND 9.16.42-S1（BIND Supported Preview Edition）
• BIND 9.18.16-S1（BIND Supported Preview Edition）

• BIND 9.16.42
• BIND 9.18.16
• BIND 9.16.42-S1（BIND Supported Preview Edition）
• BIND 9.18.16-S1（BIND Supported Preview Edition）

• synth-from-dnssecをnoに設定する

• stale-answer-client-timeoutをoffまたは0以外の値に設定する