公開日:2019/10/17 最終更新日:2021/09/15
JVNVU#98919979
ISC BIND 9 における複数の脆弱性
ISC (Internet Systems Consortium) が提供する BIND には、複数の脆弱性が存在します。
CVE-2019-6475、CVE-2019-6476 ともに以下のバージョンが影響を受けます。
- BIND 9.14.0 から 9.14.6
- BIND 9.15.0 から 9.15.4
ISC (Internet Systems Consortium) が提供する BIND には、複数の脆弱性が存在します。
- mirror zone データの検証不備 - CVE-2019-6475
CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N 基本値: 5.9 CVSS v2 AV:N/AC:H/Au:N/C:N/I:C/A:N 基本値: 5.4 - QNAME minimization 処理の不備によるサービス停止 - CVE-2019-6476
CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 5.9 CVSS v2 AV:N/AC:L/AU:N/C:N/I:N/A:C 基本値: 5.4
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 遠隔の第三者によって、偽のゾーンデータを named に挿入される - CVE-2019-6475
- 遠隔の第三者によって、named が停止される可能性 CVE-2019-6476
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。
- BIND 9.14.7
- BIND 9.15.5 (開発版)
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
CVE-2019-6475
- mirror zones 機能を使用しないようにする(デフォルトでは未設定)
- QNAME minimization を無効 "disabled" にする(デフォルトでは有効 "relaxed")
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2019-6475 |
CVE-2019-6476 |
|
JVN iPedia |
|
- 2019/10/17
- 横河計測株式会社のベンダステータスが更新されました
- 2020/04/10
- ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
- 2021/09/15
- BizMobile株式会社のベンダステータスが更新されました