公開日:2019/04/25 最終更新日:2019/09/13

JVNVU#99876126
ISC BIND 9 に複数の脆弱性

概要

ISC BIND 9 には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2018-5743

  • BIND 9.9.0 から 9.10.8-P1 まで
  • BIND 9.11.0 から 9.11.6 まで
  • BIND 9.12.0 から 9.12.4 まで
  • BIND 9.14.0
  • BIND 9 Supported Preview Edition 9.9.3-S1 から 9.11.5-S3 まで
  • BIND 9 Supported Preview Edition 9.11.5-S5
  • BIND 9 の 9.13 development branch における 9.13.0 から 9.13.7 まで
CVE-2019-6467
  • BIND 9.12.0 から 9.12.4 まで
  • BIND 9.14.0
  • BIND 9.13 development branch のすべてのバージョン
CVE-2019-6468
  • BIND Supported Preview Edition 9.10.5-S1 から 9.11.5-S5 まで
開発者によると、CVE-2018-5743 について、BIND 9.9.0 より前のバージョンに対する脆弱性評価は行われていないとのことです。

詳細情報

ISC BIND 9 には、次の複数の脆弱性が存在します。

  • TCP クライアント接続数が設定どおりに制限されない - CVE-2018-5743
  • CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
    CVSS v2 AV:N/AC:L/AU:N/C:N/I:N/A:C 基本値: 7.8
  • nxdomain-redirect 機能の不備により query.c において Assertion Failure が発生する - CVE-2019-6467
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 5.3
    CVSS v2 AV:N/AC:L/AU:N/C:N/I:N/A:C 基本値: 7.8
  • nxdomain-redirect 機能の不備により Assertion Failure が発生する - CVE-2019-6468
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 5.3
    CVSS v2 AV:N/AC:L/AU:N/C:P/I:N/A:N 基本値: 5.0

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 攻撃者によって named のファイル記述子を枯渇させられ、ネットワーク接続やログファイルやゾーンジャーナルファイルの管理に悪影響を受ける - CVE-2018-5743
  • nxdomain-redirect 機能を有効にしている場合、攻撃者によってサービス運用妨害 (DoS) 攻撃を行われる - CVE-2019-6467, CVE-2019-6468

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、以下のように本脆弱性を修正したバージョンをリリースしています。

CVE-2018-5743

  • BIND 9.11.6-P1
  • BIND 9.12.4-P1
  • BIND 9.14.1
  • BIND 9.11.5-S6
  • BIND 9.11.6-S1
CVE-2019-6467
  • BIND 9.12.4-P1
  • BIND 9.14.1
CVE-2019-6468
  • BIND 9.11.5-S6
  • BIND 9.11.6-S1

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
ジェイティ エンジニアリング株式会社 該当製品無し 2019/07/10
日本電気株式会社 該当製品あり 2019/09/12
横河計測株式会社 該当製品無し 2019/04/26

参考情報

  1. 株式会社日本レジストリサービス(JPRS)
    (緊急)BIND 9.xの脆弱性(ファイル記述子の過度な消費)について(CVE-2018-5743)
  2. 株式会社日本レジストリサービス(JPRS)
    BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6467)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2018-5743
CVE-2019-6467
CVE-2019-6468
JVN iPedia

更新履歴

2019/04/26
横河計測株式会社のベンダステータスが更新されました
2019/07/11
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2019/09/13
日本電気株式会社のベンダステータスが更新されました