2023年1月25日(現地時間)、ISCからISC BIND 9の複数の脆弱性についての情報が公開されました。脆弱性が悪用されると、リモート攻撃によってnamedが異常終了するなどの可能性があります。
ISCは、4件の脆弱性(CVE-2022-3094、CVE-2022-3488、CVE-2022-3736、CVE-2022-3924)の深刻度を高(High)と評価しています。
対象となるBINDを使用するユーザーは、ISCや各ディストリビューターの情報に注意し、バージョンアップや回避策の適用などの対応を進めることを検討してください。なお、一部の脆弱性は、すでにサポートが終了したBINDでも影響を受けますが、修正バージョンはサポート対象のBINDでのみ提供されます。詳細は、ISCなどが提供する情報を参照してください。
[CVE-2022-3094の影響を受けるバージョン]
- BIND 9.16.0からBIND 9.16.36まで
- BIND 9.18.0からBIND 9.18.10まで
- BIND 9.19.0からBIND 9.19.8まで
- BIND Supported Preview Edition 9.16.8-S1からBIND 9.16.36-S1まで
※9.11系およびそれ以前のバージョンについて、メモリの制約ではなく内部リソースが枯渇することによって影響を受け機能低下を引き起こす可能性がありますが、ほとんどのサーバーにおいて重要な問題ではないとして、ISCはBIND 9.16系より前のバージョンへの対応はしないとしています
Internet Systems Consortium, Inc.(ISC)
CVE-2022-3094: An UPDATE message flood may cause named to exhaust all available memory
https://kb.isc.org/docs/cve-2022-3094
[CVE-2022-3488の影響を受けるバージョン]
- BIND Supported Preview Edition 9.11.4-S1からBIND 9.11.37-S1まで
- BIND Supported Preview Edition 9.16.8-S1からBIND 9.16.36-S1まで
Internet Systems Consortium, Inc.(ISC)
CVE-2022-3488: BIND Supported Preview Edition named may terminate unexpectedly when processing ECS options in repeated responses to iterative queries
https://kb.isc.org/docs/cve-2022-3488
[CVE-2022-3736の影響を受けるバージョン]
- BIND 9.16.12からBIND 9.16.36まで
- BIND 9.18.0からBIND 9.18.10まで
- BIND 9.19.0からBIND 9.19.8まで
- BIND Supported Preview Edition 9.16.12-S1からBIND 9.16.36-S1まで
※リゾルバーでstale cacheとstale answersが有効、かつstale-answer-client-timeoutが正の整数に設定されている場合に影響を受けます
Internet Systems Consortium, Inc.(ISC)
CVE-2022-3736: named configured to answer from stale cache may terminate unexpectedly while processing RRSIG queries
https://kb.isc.org/docs/cve-2022-3736
[CVE-2022-3924の影響を受けるバージョン]
- BIND 9.16.12からBIND 9.16.36まで
- BIND 9.18.0からBIND 9.18.10まで
- BIND 9.19.0からBIND 9.19.8まで
- BIND Supported Preview Edition 9.16.12-S1からBIND 9.16.36-S1まで
※リゾルバーでstale-answer-enableがyes、かつstale-answer-client-timeoutが0より大きい値に設定されている場合に影響を受けます
Internet Systems Consortium, Inc.(ISC)
CVE-2022-3924: named configured to answer from stale cache may terminate unexpectedly at recursive-clients soft quota
https://kb.isc.org/docs/cve-2022-3924
参考情報
日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(メモリ不足の発生)について(CVE-2022-3094)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-01-26-bind9-vuln-dynamic-update.html
日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2022-3736)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-01-26-bind9-vuln-serve-stale-rrsig.html
日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2022-3924)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-01-26-bind9-vuln-serve-stale-softquota.html
Internet Systems Consortium, Inc.(ISC)
BIND 9 End-of-Life Dates
https://kb.isc.org/docs/bind-9-end-of-life-dates
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp