2025年1月29日(現地時間)、Internet Systems Consortium(ISC)からBIND 9の脆弱性情報が2件公開されました。脆弱性が悪用されると、サーバーのリソースが枯渇し、応答速度が低下するなどの可能性があります。ISCは、2件の脆弱性(CVE-2024-11187、CVE-2024-12705)の深刻度を高(High)と評価しています。
対象となるBINDを使用するユーザーは、ISCや各ディストリビューターの情報に注意し、バージョンアップや回避策の適用などの対応を進めることを検討してください。詳細は、ISCなどが提供する情報を参照してください。
[CVE-2024-11187の影響を受けるバージョン]
- BIND 9.21.0からBIND 9.21.3まで
- BIND 9.20.0からBIND 9.20.4まで
- BIND 9.18.0からBIND 9.18.32まで
- BIND 9.16.0からBIND 9.16.50まで
- BIND 9.11.0からBIND 9.11.37まで
- BIND Supported Preview Edition 9.18.11-S1からBIND 9.18.32-S1まで
- BIND Supported Preview Edition 9.16.8-S1からBIND 9.16.50-S1まで
- BIND Supported Preview Edition 9.11.3-S1からBIND 9.11.37-S1まで
※ BIND 9.11.37より前のバージョン、BIND Supported Preview Edition 9.11.37-S1より前のバージョンについては評価されていません。
※ 本脆弱性は、リゾルバーと権威サーバーの双方が影響を受けます。
Internet Systems Consortium, Inc.(ISC)
CVE-2024-11187: Many records in the additional section cause CPU exhaustion
https://kb.isc.org/docs/cve-2024-11187
[CVE-2024-12705の影響を受けるバージョン]
- BIND 9.21.0からBIND 9.21.3まで
- BIND 9.20.0からBIND 9.20.4まで
- BIND 9.18.0からBIND 9.18.32まで
- BIND Supported Preview Edition 9.18.11-S1からBIND 9.18.32-S1まで
※ BIND 9.18.27より前のバージョン、BIND Supported Preview Edition 9.18.27-S1より前のバージョンについては評価されていません。
※ 本脆弱性は、リゾルバーと権威サーバーの双方が影響を受けます。
Internet Systems Consortium, Inc.(ISC)
CVE-2024-12705: DNS-over-HTTPS implementation suffers from multiple issues under heavy query load
https://kb.isc.org/docs/cve-2024-12705
参考情報
日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(過剰なCPU負荷の誘発)について(CVE-2024-11187) - バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2025-01-30-bind9-vuln-additionalsection.html
日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(パフォーマンスの低下)について(CVE-2024-12705) - バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2025-01-30-bind9-vuln-dnsoverhttps.html
Internet Systems Consortium, Inc.(ISC)
BIND 9 End-of-Life Dates
https://kb.isc.org/docs/bind-9-end-of-life-dates
Japan Vulnerability Notes(JVN)
JVNVU#94914427 ISC BINDにおける複数の脆弱性(2025年1月)
https://jvn.jp/vu/JVNVU94914427/
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp