JVNVU#94469233
ISC BINDにおける複数の脆弱性

ISC（Internet Systems Consortium）が提供するISC BINDには、複数の脆弱性が存在します。

CVE-2023-3341

• BIND 9.2.0から9.16.43
• BIND 9.18.0から9.18.18
• BIND 9.19.0から9.19.16
• BIND 9.9.3-S1から9.16.43-S1（BIND Supported Preview Edition）
• BIND 9.18.0-S1から9.18.18-S1（BIND Supported Preview Edition）

• BIND 9.18.0から9.18.18
• BIND 9.18.11-S1から9.18.18-S1（BIND Supported Preview Edition）

ISC（Internet Systems Consortium）が提供するISC BINDには、次の複数の脆弱性が存在します。

• namedに送信された制御チャネルメッセージの解析時に特定の関数が再帰的に呼び出されるが、再帰の深さは受け入れるパケットの最大サイズによって決まるため、各プロセスやスレッドが使用できるスタックサイズが小さい環境では、パケット解析時にスタックメモリを使い果たし、namedが予期せず終了する - CVE-2023-3341
• DNS-over-TLSクエリの処理に不備があり、アサーションエラーによってnamedが予期せず終了する - CVE-2023-4236

想定される影響は各脆弱性により異なりますが、遠隔の第三者によって、次のような影響を受ける可能性があります。

• 細工したメッセージを送信された場合、namedが予期せず終了させられる - CVE-2023-3341
• DNS-over-TLSクエリによる負荷をかけられた場合、namedインスタンスが予期せず終了させられる - CVE-2023-4236

アップデートする
開発者が提供する以下のパッチバージョンにアップデートしてください。
CVE-2023-3341

• BIND 9.16.44
• BIND 9.18.19
• BIND 9.19.17
• BIND 9.16.44-S1（BIND Supported Preview Edition）
• BIND 9.18.19-S1（BIND Supported Preview Edition）

• BIND 9.18.19
• BIND 9.18.19-S1（BIND Supported Preview Edition）

• 制御チャネルの構成済みTCPポートへのリモートアクセスを有効にする場合は、信頼できるIP範囲からのアクセスに制限する

• DNS-over-TLSサポートが不要な場合、構成からlisten-on ... tls ... { ... };ステートメントを削除して、DNS-over-TLS接続のリスニングを無効にする