サイバーインシデントがなくなるその日まで

JPCERT Coordination Center

powered by Yahoo! JAPAN

  • このサイト内を検索
  • ウェブ全体を検索

ISC BIND 9における複数の脆弱性について(2024年2月)

最終更新: 2024-02-14

2024年2月13日(現地時間)、ISCからISC BIND 9の複数の脆弱性についての情報が公開されました。脆弱性が悪用されると、リモート攻撃によってnamedが異常終了または過負荷になる可能性があります。ISCは、6件の脆弱性(CVE-2023-4408、CVE-2023-5517、CVE-2023-5679、CVE-2023-6516、CVE-2023-50387、CVE-2023-50868)の深刻度を高(High)、1件の脆弱性(CVE-2023-5680)の深刻度を中(Medium)と評価しています。

対象となるBINDを使用するユーザーは、ISCや各ディストリビューターの情報に注意し、バージョンアップや回避策の適用などの対応を進めることを検討してください。なお、一部の脆弱性は、すでにサポートが終了したBINDでも影響を受けますが、修正バージョンはサポート対象のBINDでのみ提供されます。詳細は、ISCなどが提供する情報を参照してください。

[CVE-2023-4408の影響を受けるバージョン]
- BIND 9.0.0からBIND 9.16.45まで
- BIND 9.18.0からBIND 9.18.21まで
- BIND 9.19.0からBIND 9.19.19まで
- BIND Supported Preview Edition 9.9.3-S1からBIND 9.11.37-S1まで
- BIND Supported Preview Edition 9.16.8-S1からBIND 9.16.45-S1まで
- BIND Supported Preview Edition 9.18.11-S1からBIND 9.18.21-S1まで
※ BIND 9.11.37および9.11.37-S1より前のバージョンについては評価されていません。

Internet Systems Consortium, Inc.(ISC)
CVE-2023-4408: Parsing large DNS messages may cause excessive CPU load
https://kb.isc.org/docs/cve-2023-4408

[CVE-2023-5517の影響を受けるバージョン]
- BIND 9.12.0からBIND 9.16.45まで
- BIND 9.18.0からBIND 9.18.21まで
- BIND 9.19.0からBIND 9.19.19まで
- BIND Supported Preview Edition 9.16.8-S1からBIND 9.16.45-S1まで
- BIND Supported Preview Edition 9.18.11-S1からBIND 9.18.21-S1まで
※ nxdomain-redirect機能を有効にしている場合に影響を受けます。(デフォルトでは無効)  

Internet Systems Consortium, Inc.(ISC)
CVE-2023-5517: Querying RFC 1918 reverse zones may cause an assertion failure when nxdomain-redirect is enabled
https://kb.isc.org/docs/cve-2023-5517

[CVE-2023-5679の影響を受けるバージョン]
- BIND 9.16.12からBIND 9.16.45まで
- BIND 9.18.0からBIND 9.18.21まで
- BIND 9.19.0からBIND 9.19.19まで
- BIND Supported Preview Edition 9.16.12-S1からBIND 9.16.45-S1まで
- BIND Supported Preview Edition 9.18.11-S1からBIND 9.18.21-S1まで
※ DNS64とserve-staleを両方有効にしている場合に影響を受けます。

Internet Systems Consortium, Inc.(ISC)
CVE-2023-5679: Enabling both DNS64 and serve-stale may cause an assertion failure during recursive resolution
https://kb.isc.org/docs/cve-2023-5679

[CVE-2023-5680の影響を受けるバージョン]
- BIND Supported Preview Edition 9.11.3-S1からBIND 9.11.37-S1まで
- BIND Supported Preview Edition 9.16.8-S1からBIND 9.16.45-S1まで
- BIND Supported Preview Edition 9.18.11-S1からBIND 9.18.21-S1まで
※ BIND 9.11.37-S1より前のバージョンについては評価されていません。

Internet Systems Consortium, Inc.(ISC)
CVE-2023-5680: Cleaning an ECS-enabled cache may cause excessive CPU load
https://kb.isc.org/docs/cve-2023-5680

[CVE-2023-6516の影響を受けるバージョン]
- BIND 9.16.0からBIND 9.16.45まで
- BIND Supported Preview Edition 9.16.8-S1からBIND 9.16.45-S1まで

Internet Systems Consortium, Inc.(ISC)
CVE-2023-6516: Specific recursive query patterns may lead to an out-of-memory condition
https://kb.isc.org/docs/cve-2023-6516

[CVE-2023-50387の影響を受けるバージョン]
- BIND 9.0.0からBIND 9.16.46まで
- BIND 9.18.0からBIND 9.18.22まで
- BIND 9.19.0からBIND 9.19.20まで
- BIND Supported Preview Edition 9.9.3-S1からBIND 9.16.46-S1まで
- BIND Supported Preview Edition 9.18.11-S1からBIND 9.18.22-S1まで
※ BIND 9.11.37および9.11.37-S1より前のバージョンについては評価されていません。

Internet Systems Consortium, Inc.(ISC)
CVE-2023-50387: KeyTrap - Extreme CPU consumption in DNSSEC validator
https://kb.isc.org/docs/cve-2023-50387

[CVE-2023-50868の影響を受けるバージョン]
- BIND 9.0.0からBIND 9.16.46まで
- BIND 9.18.0からBIND 9.18.22まで
- BIND 9.19.0からBIND 9.19.20まで
- BIND Supported Preview Edition 9.9.3-S1からBIND 9.16.46-S1まで
- BIND Supported Preview Edition 9.18.11-S1からBIND 9.18.22-S1まで
※ BIND 9.11.37および9.11.37-S1より前のバージョンについては評価されていません。

Internet Systems Consortium, Inc.(ISC)
CVE-2023-50868: Preparing an NSEC3 closest encloser proof can exhaust CPU resources
https://kb.isc.org/docs/cve-2023-50868

参考情報
日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(過剰なCPU負荷の誘発)について(CVE-2023-4408)
- フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、 バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2024-02-14-bind9-vuln-dnsmessage.html

日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2023-5517)
- nxdomain-redirect機能を有効にしている場合のみ対象、 バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2024-02-14-bind9-vuln-nxdomain-redirect.html

日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2023-5679)
- serve-staleとDNS64を共に有効にしている場合のみ対象、 バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2024-02-14-bind9-vuln-serve-stale.html

日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(メモリ不足の発生)について(CVE-2023-6516)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2024-02-14-bind9-vuln-cache-cleaning.html

日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(過剰なCPU負荷の誘発)について(CVE-2023-50387)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2024-02-14-bind9-vuln-keytrap.html

日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(過剰なCPU負荷の誘発)について(CVE-2023-50868)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2024-02-14-bind9-vuln-nsec3.html

Internet Systems Consortium, Inc.(ISC)
BIND 9 End-of-Life Dates
https://kb.isc.org/docs/bind-9-end-of-life-dates

CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。

一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp

Topへ

コラム&ブログ

おすすめ情報