公開日:2024/07/24 最終更新日:2024/07/24

JVNVU#99505181
ISC BINDにおける複数の脆弱性(2024年7月)

概要

ISC(Internet Systems Consortium)が提供するISC BINDには、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2024-0760

  • BIND 9.18.1から9.18.27
  • BIND 9.19.0から9.19.24
  • BIND 9.18.11-S1から9.18.27-S1(BIND Supported Preview Edition)
BIND 9.18.1より前のバージョンおよびBIND 9.18.24-S1(BIND Supported Preview Edition)より前のバージョンは影響有無の確認をしていないとのことです。

CVE-2024-1737
  • BIND 9.11.0から9.11.37
  • BIND 9.16.0から9.16.50
  • BIND 9.18.0から9.18.27
  • BIND 9.19.0から9.19.24
  • BIND 9.11.4-S1から9.11.37-S1(BIND Supported Preview Edition)
  • BIND 9.16.8-S1から9.16.50-S1(BIND Supported Preview Edition)
  • BIND 9.18.11-S1から9.18.27-S1(BIND Supported Preview Edition)
BIND 9.11.0より前のバージョンおよびBIND 9.11.4-S1(BIND Supported Preview Edition)より前のバージョンは影響有無の確認をしていないとのことです。

CVE-2024-1975
  • BIND 9.0.0から9.11.37
  • BIND 9.16.0から9.16.50
  • BIND 9.18.0から9.18.27
  • BIND 9.19.0から9.19.24
  • BIND 9.9.3-S1から9.11.37-S1(BIND Supported Preview Edition)
  • BIND 9.16.8-S1から9.16.49-S1(BIND Supported Preview Edition)
  • BIND 9.18.11-S1から9.18.27-S1(BIND Supported Preview Edition)
BIND 9.16.48より前のバージョンおよびBIND 9.16.48-S1(BIND Supported Preview Edition)より前のバージョンは影響有無の確認をしていないとのことです。

CVE-2024-4076
  • BIND 9.16.13から9.16.50
  • BIND 9.18.0から9.18.27
  • BIND 9.19.0から9.19.24
  • BIND 9.11.33-S1から9.11.37-S1(BIND Supported Preview Edition)
  • BIND 9.16.13-S1から9.16.50-S1(BIND Supported Preview Edition)
  • BIND 9.18.11-S1から9.18.27-S1(BIND Supported Preview Edition)

詳細情報

ISC(Internet Systems Consortium)が提供するISC BINDには、次の複数の脆弱性が存在します。

  • TCP経由で多数のDNSメッセージを受信するとサーバーが不安定になる-CVE-2024-0760
  • 同じホスト名のリソースレコードを大量にキャッシュまたは保持しているリゾルバーおよび権威サーバーにおいて、コンテンツの追加や更新時あるいは対象の名前のクライアントクエリを処理する際にパフォーマンスが低下する-CVE-2024-1737
  • 権威サーバーがKEYリソースレコードを含むゾーンをホストしているか、リゾルバーがキャッシュ内のDNSSEC署名付きドメインからのKEYリソースレコードをDNSSEC検証している場合、SIG(0)署名されたリクエストを受信するとCPUリソースを使い果たす-CVE-2024-1975
  • serve-stale機能を有効にしているリゾルバーにおいて、ローカルの権威ゾーンデータの検索を必要とするクライアントクエリを実行した場合、アサーションエラーが発生する-CVE-2024-4076

想定される影響

想定される影響は各脆弱性により異なりますが、遠隔の第三者によって、次のような影響を受ける可能性があります。

  • 攻撃継続中はサーバーが不安定となり、ACLを利用しても影響が軽減されない-CVE-2024-0760
  • クエリの処理速度が100倍低下する-CVE-2024-1737
  • BINDが応答不能となる-CVE-2024-1975
  • namedインスタンスが予期せず終了する-CVE-2024-4076

対策方法

アップデートする
開発者が提供する以下のパッチバージョンにアップデートしてください。

  • 9.18.28
  • 9.20.0
  • 9.18.28-S1
ワークアラウンドを実施する
開発者は、CVE-2024-4076に関してワークアラウンドも提示しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Internet Systems Consortium(ISC) CVE-2024-0760: A flood of DNS messages over TCP may make the server unstable
CVE-2024-1737: BIND’s database will be slow if a very large number of RRs exist at the same name
CVE-2024-1975: SIG(0) can be used to exhaust CPU resources
CVE-2024-4076: Assertion failure when serving both stale cache data and authoritative zone content

参考情報

  1. JPCERT/CC CyberNewsFlash 2024-07-24
    ISC BIND 9における複数の脆弱性について(2024年7月)
  2. 株式会社日本レジストリサービス(JPRS)
    (緊急)BIND 9.xの脆弱性(namedの動作不安定)について(CVE-2024-0760) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、 バージョンアップを強く推奨 -
  3. 株式会社日本レジストリサービス(JPRS)
    (緊急)BIND 9.xの脆弱性(パフォーマンスの低下)について(CVE-2024-1737) - バージョンアップを強く推奨 -
  4. 株式会社日本レジストリサービス(JPRS)
    (緊急)BIND 9.xの脆弱性(過剰なCPU負荷の誘発)について(CVE-2024-1975) - バージョンアップを強く推奨 -
  5. 株式会社日本レジストリサービス(JPRS)
    (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2024-4076) - serve-staleを有効にしている場合のみ対象、バージョンアップを強く推奨 -

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia