公開日:2024/02/14 最終更新日:2024/02/14
JVNVU#92131687
ISC BINDにおける複数の脆弱性(2024年2月)
ISC(Internet Systems Consortium)が提供するISC BINDには、複数の脆弱性が存在します。
CVE-2023-4408
- BIND 9.0.0から9.16.45
- BIND 9.18.0から9.18.21
- BIND 9.19.0から9.19.19
- BIND 9.9.3-S1から9.11.37-S1(BIND Supported Preview Edition)
- BIND 9.16.8-S1から9.16.45-S1(BIND Supported Preview Edition)
- BIND 9.18.11-S1から9.18.21-S1(BIND Supported Preview Edition)
CVE-2023-5517
- BIND 9.12.0から9.16.45
- BIND 9.18.0から9.18.21
- BIND 9.19.0から9.19.19
- BIND 9.16.8-S1から9.16.45-S1(BIND Supported Preview Edition)
- BIND 9.18.11-S1から9.18.21-S1(BIND Supported Preview Edition)
- BIND 9.16.12から9.16.45
- BIND 9.18.0から9.18.21
- BIND 9.19.0から9.19.19
- BIND 9.16.12-S1から9.16.45-S1(BIND Supported Preview Edition)
- BIND 9.18.11-S1から9.18.21-S1(BIND Supported Preview Edition)
- BIND 9.11.3-S1から9.11.37-S1(BIND Supported Preview Edition)
- BIND 9.16.8-S1から9.16.45-S1(BIND Supported Preview Edition)
- BIND 9.18.11-S1から9.18.21-S1(BIND Supported Preview Edition)
CVE-2023-6516
- BIND 9.16.0から9.16.45
- BIND 9.16.8-S1から9.16.45-S1(BIND Supported Preview Edition)
- BIND 9.0.0から9.16.46
- BIND 9.18.0から9.18.22
- BIND 9.19.0から9.19.20
- BIND 9.9.3-S1から9.16.46-S1(BIND Supported Preview Edition)
- BIND 9.18.11-S1から9.18.22-S1(BIND Supported Preview Edition)
CVE-2023-50868
- BIND 9.0.0から9.16.46
- BIND 9.18.0から9.18.22
- BIND 9.19.0から9.19.20
- BIND 9.9.3-S1から9.16.46-S1
- BIND 9.18.11-S1から9.18.22-S1
ISC(Internet Systems Consortium)が提供するISC BINDには、次の複数の脆弱性が存在します。
named内のDNSメッセージ解析コードが細工されたクエリとレスポンスを処理すると、過剰なCPU負荷が発生する - CVE-2023-4408nxdomain-redirect <domain>;が設定され、リゾルバが正式なNXDOMAINレスポンスとなるRFC 1918アドレスに対するPTRクエリを受け取る場合、query-handlingコードの欠陥により、namedがアサーションエラーで終了する - CVE-2023-5517- DNS64とserve-staleの機能が有効となっている場合、不適切な相互作用により、
namedがアサーションエラーでクラッシュする - CVE-2023-5679 - リゾルバキャッシュに非常に多くの同名のECSレコードが保存されている場合、このクリーニングプロセスによってクエリのパフォーマンスが大幅に低下する - CVE-2023-5680
- キャッシュデータベースの効率を維持するため、再帰リゾルバとして実行されている
namedのデータベースクリーンアップ処理に不具合があり、設定されたmax-cache-sizeを大幅に超過する - CVE-2023-6516 - 細工されたDNSSEC署名ゾーンからの応答を処理すると、CPUが枯渇する - CVE-2023-50387
- NSEC3を使ってDNSSEC署名付きゾーンからの応答を処理すると、CPUが枯渇する - CVE-2023-50868
想定される影響は各脆弱性により異なりますが、遠隔の第三者によって、次のような影響を受ける可能性があります。
- 細工されたクエリを処理すると、正当なクライアントからのDNS解決サービスを処理できなくなる - CVE-2023-4408
- ひとつのクエリで
namedがクラッシュする - CVE-2023-5517 - DNS64対応リゾルバにserve-stale機能を使用するドメイン名を問い合せることで、
namedがクラッシュする - CVE-2023-5679 - 特定のクエリをリゾルバに送信することで、
namedのクエリ処理パフォーマンスが低下し、最悪の場合、リゾルバが応答しなくなる - CVE-2023-5680 - 影響は環境要因によって異なるが、最悪の場合、サービス運用妨害(DoS)状態となる - CVE-2023-6516
- 欠陥を悪用するクエリをリゾルバに大量に送信することで、リゾルバのパフォーマンスが大幅に低下し、正当なクライアントからのDNS解決サービスを処理できなくなる - CVE-2023-50387、CVE-2023-50868
アップデートする
開発者が提供する以下のパッチバージョンにアップデートしてください。
- 9.16.48
- 9.18.24
- 9.19.21
- 9.16.48-S1
- 9.18.24-S1
開発者は、一部の脆弱性に関してワークアラウンドも提示しています。
詳細は、開発者が提供する情報をご確認ください。
-
JPCERT/CC CyberNewsFlash 2024-02-14
ISC BIND 9における複数の脆弱性について(2024年2月) -
株式会社日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(過剰なCPU負荷の誘発)について(CVE-2023-4408) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、 バージョンアップを強く推奨 - -
株式会社日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2023-5517) - nxdomain-redirect機能を有効にしている場合のみ対象、 バージョンアップを強く推奨 - -
株式会社日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2023-5679) - serve-staleとDNS64を共に有効にしている場合のみ対象、 バージョンアップを強く推奨 - -
株式会社日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(メモリ不足の発生)について(CVE-2023-6516) - バージョンアップを強く推奨 - -
株式会社日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(過剰なCPU負荷の誘発)について(CVE-2023-50387) - バージョンアップを強く推奨 - -
株式会社日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(過剰なCPU負荷の誘発)について(CVE-2023-50868) - バージョンアップを強く推奨 -
