独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月21日、ISC(Internet Systems Consortium)が提供するISC BINDに複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。株式会社日本レジストリサービス(JPRS)でもバージョンアップを強く推奨している。
確認された脆弱性は、「namedに対する外部からのサービス不能(DoS)攻撃が可能となる脆弱性(CVE-2023-3341およびCVE-2023-4236)。前者はBIND 9.x、後者はBIND 9.18系列のみ(DNS over TLSでの接続を有効にしている場合のみ)が対象となる。
これらの脆弱性が悪用されると、細工したメッセージを送信された場合、namedが予期せず終了させられる(CVE-2023-3341)、DNS-over-TLSクエリによる負荷をかけられた場合、namedインスタンスが予期せず終了させられる(CVE-2023-4236)などの影響を受ける可能性がある。
影響を受けるシステムは次の通り。
・CVE-2023-3341
BIND 9.2.0から9.16.43
BIND 9.18.0から9.18.18
BIND 9.19.0から9.19.16
BIND 9.9.3-S1から9.16.43-S1(BIND Supported Preview Edition)
BIND 9.18.0-S1から9.18.18-S1(BIND Supported Preview Edition)
※BIND 9.11.37より前のバージョンおよびBIND 9.11.37-S1(BIND Supported Preview Edition)より前のバージョンは影響有無の確認をしていないとのこと。
・CVE-2023-4236
BIND 9.18.0から9.18.18
BIND 9.18.11-S1から9.18.18-S1(BIND Supported Preview Edition)
開発者は脆弱性を解消するパッチバージョンを提供しており、JVNではこれらのアップデートを行うよう呼びかけている。また、早急なアップデートができない場合のワークアラウンドについても記載している。
