2023年6月21日(現地時間)、ISCからISC BIND 9の複数の脆弱性についての情報が公開されました。脆弱性が悪用されると、リモート攻撃によってnamedが異常終了するなどの可能性があります。ISCは、3件の脆弱性(CVE-2023-2828、CVE-2023-2829、CVE-2023-2911)の深刻度を高(High)と評価しています。
対象となるBINDを使用するユーザーは、ISCや各ディストリビューターの情報に注意し、バージョンアップや回避策の適用などの対応を進めることを検討してください。なお、一部の脆弱性は、すでにサポートが終了したBINDでも影響を受けますが、修正バージョンはサポート対象のBINDでのみ提供されます。詳細は、ISCなどが提供する情報を参照してください。
[CVE-2023-2828の影響を受けるバージョン]
- BIND 9.11.0からBIND 9.16.41まで
- BIND 9.18.0からBIND 9.18.15まで
- BIND 9.19.0からBIND 9.19.13まで
- BIND Supported Preview Edition 9.11.3-S1からBIND 9.16.41-S1まで
- BIND Supported Preview Edition 9.18.11-S1からBIND 9.18.15-S1まで
※ BIND 9.11.37および9.11.37-S1より前のバージョンについては評価されていないものの、脆弱性の影響を受ける可能性があるとのことです
Internet Systems Consortium, Inc.(ISC)
CVE-2023-2828: named’s configured cache size limit can be significantly exceeded
https://kb.isc.org/docs/cve-2023-2828
[CVE-2023-2829の影響を受けるバージョン]
- BIND Supported Preview Edition 9.16.8-S1からBIND 9.16.41-S1まで
- BIND Supported Preview Edition 9.18.11-S1からBIND 9.18.15-S1まで
※synth-from-dnssecの設定が有効である場合に影響を受けます(BIND 9.18および9.18-S以降の全てのバージョンにおいて、デフォルトは有効)
Internet Systems Consortium, Inc.(ISC)
CVE-2023-2829: Malformed NSEC records can cause named to terminate unexpectedly when synth-from-dnssec is enabled
https://kb.isc.org/docs/cve-2023-2829
[CVE-2023-2911の影響を受けるバージョン]
- BIND 9.16.33からBIND 9.16.41まで
- BIND 9.18.7からBIND 9.18.15まで
- BIND Supported Preview Edition 9.16.33-S1からBIND 9.16.41-S1まで
- BIND Supported Preview Edition 9.18.11-S1からBIND 9.18.15-S1まで
※リゾルバでstale-answer-enableがyes、かつstale-answer-client-timeoutが0に設定されている場合に影響を受けます
Internet Systems Consortium, Inc.(ISC)
CVE-2023-2911: Exceeding the recursive-clients quota may cause named to terminate unexpectedly when stale-answer-client-timeout is set to 0
https://kb.isc.org/docs/cve-2023-2911
参考情報
日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(メモリ不足の発生)について(CVE-2023-2828)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-06-22-bind9-vuln-cache-cleaning.html
日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2023-2911)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-06-22-bind9-vuln-serve-stale.html
Internet Systems Consortium, Inc.(ISC)
BIND 9 End-of-Life Dates
https://kb.isc.org/docs/bind-9-end-of-life-dates
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp