2023年9月20日(現地時間)、ISCからISC BIND 9の複数の脆弱性についての情報が公開されました。脆弱性が悪用されると、リモート攻撃によってnamedが異常終了する可能性があります。ISCは、2件の脆弱性(CVE-2023-3341、CVE-2023-4236)の深刻度を高(High)と評価しています。
対象となるBINDを使用するユーザーは、ISCや各ディストリビューターの情報に注意し、バージョンアップや回避策の適用などの対応を進めることを検討してください。なお、一部の脆弱性は、すでにサポートが終了したBINDでも影響を受けますが、修正バージョンはサポート対象のBINDでのみ提供されます。詳細は、ISCなどが提供する情報を参照してください。
[CVE-2023-3341の影響を受けるバージョン]
- BIND 9.2.0からBIND 9.16.43まで
- BIND 9.18.0からBIND 9.18.18まで
- BIND 9.19.0からBIND 9.19.16まで
- BIND Supported Preview Edition 9.9.3-S1からBIND 9.16.43-S1まで
- BIND Supported Preview Edition 9.18.0-S1からBIND 9.18.18-S1まで
※ BIND 9.11.37および9.11.37-S1より前のバージョンについては評価されていません
※ 本脆弱性を悪用する制御チャンネルメッセージがnamedに送信されると、namedが予期せず終了する可能性があります。制御チャンネルの接続は規定ではループバックインターフェースでのみ許可されています。リモートアクセスを有効にする場合は、信頼できるIP範囲からのアクセスに制限することが推奨されています。
Internet Systems Consortium, Inc.(ISC)
CVE-2023-3341: A stack exhaustion flaw in control channel code may cause named to terminate unexpectedly
https://kb.isc.org/docs/cve-2023-3341
[CVE-2023-4236の影響を受けるバージョン]
- BIND 9.18.0からBIND 9.18.18まで
- BIND Supported Preview Edition 9.18.11-S1からBIND 9.18.18-S1まで
※ 本脆弱性はDNS-over-TLSを利用している際に影響を受けるとのことで、DNS-over-HTTPSは影響を受けないとのことです
Internet Systems Consortium, Inc.(ISC)
CVE-2023-4236: named may terminate unexpectedly under high DNS-over-TLS query load
https://kb.isc.org/docs/cve-2023-4236
参考情報
日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2023-3341)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-09-21-bind9-vuln-controlchannel.html
日本レジストリサービス(JPRS)
(緊急)BIND 9.18.xの脆弱性(DNSサービスの停止)について(CVE-2023-4236)
- BIND 9.18系列のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-09-21-bind9-vuln-dnsovertls.html
Internet Systems Consortium, Inc.(ISC)
BIND 9 End-of-Life Dates
https://kb.isc.org/docs/bind-9-end-of-life-dates
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
