独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月14日、ISC BINDにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社日本レジストリサービス(JPRS)でもバージョンアップを強く推奨している。影響を受けるシステムは以下の通り。
・CVE-2023-4408
BIND 9.0.0から9.16.45
BIND 9.18.0から9.18.21
BIND 9.19.0から9.19.19
BIND 9.9.3-S1から9.11.37-S1(BIND Supported Preview Edition)
BIND 9.16.8-S1から9.16.45-S1(BIND Supported Preview Edition)
BIND 9.18.11-S1から9.18.21-S1(BIND Supported Preview Edition)
※BIND 9.11.37より前のバージョンおよびBIND 9.11.37-S1(BIND Supported Preview Edition)より前のバージョンは影響有無の確認をしていない。
・CVE-2023-5517
BIND 9.12.0から9.16.45
BIND 9.18.0から9.18.21
BIND 9.19.0から9.19.19
BIND 9.16.8-S1から9.16.45-S1(BIND Supported Preview Edition)
BIND 9.18.11-S1から9.18.21-S1(BIND Supported Preview Edition)
・CVE-2023-5679
BIND 9.16.12から9.16.45
BIND 9.18.0から9.18.21
BIND 9.19.0から9.19.19
BIND 9.16.12-S1から9.16.45-S1(BIND Supported Preview Edition)
BIND 9.18.11-S1から9.18.21-S1(BIND Supported Preview Edition)
・CVE-2023-5680
BIND 9.11.3-S1から9.11.37-S1(BIND Supported Preview Edition)
BIND 9.16.8-S1から9.16.45-S1(BIND Supported Preview Edition)
BIND 9.18.11-S1から9.18.21-S1(BIND Supported Preview Edition)
※BIND9.11.37-S1(BIND Supported Preview Edition)より前のバージョンは影響有無の確認をしていない。
・CVE-2023-6516
BIND 9.16.0から9.16.45
BIND 9.16.8-S1から9.16.45-S1(BIND Supported Preview Edition)
・CVE-2023-50387
BIND 9.0.0から9.16.46
BIND 9.18.0から9.18.22
BIND 9.19.0から9.19.20
BIND 9.9.3-S1から9.16.46-S1(BIND Supported Preview Edition)
BIND 9.18.11-S1から9.18.22-S1(BIND Supported Preview Edition)
※BIND 9.11.37より前のバージョンおよびBIND 9.11.37-S1(BIND Supported Preview Edition)より前のバージョンは影響有無の確認をしていない。
・CVE-2023-50868
BIND 9.0.0から9.16.46
BIND 9.18.0から9.18.22
BIND 9.19.0から9.19.20
BIND 9.9.3-S1から9.16.46-S1
BIND 9.18.11-S1から9.18.22-S1
※BIND 9.11.37より前のバージョンおよびBIND 9.11.37-S1(BIND Supported Preview Edition)より前のバージョンは影響有無の確認をしていない。
ISC(Internet Systems Consortium)が提供するISC BINDには、遠隔の第三者によって下記の影響を受ける可能性がある複数の脆弱性が存在する。
・named内のDNSメッセージ解析コードが細工されたクエリとレスポンスを処理すると、過剰なCPU負荷が発生する(CVE-2023-4408)
→細工されたクエリを処理すると正当なクライアントからのDNS解決サービスを処理できなくなる
・nxdomain-redirect <domain>;が設定され、リゾルバが正式なNXDOMAINレスポンスとなるRFC 1918アドレスに対するPTRクエリを受け取る場合、query-handlingコードの欠陥により、namedがアサーションエラーで終了する(CVE-2023-5517)
→ひとつのクエリでnamedがクラッシュする
・DNS64とserve-staleの機能が有効となっている場合、不適切な相互作用により、namedがアサーションエラーでクラッシュする(CVE-2023-5679)
→DNS64対応リゾルバにserve-stale機能を使用するドメイン名を問い合せることで、namedがクラッシュする
・リゾルバキャッシュに非常に多くの同名のECSレコードが保存されている場合、このクリーニングプロセスによってクエリのパフォーマンスが大幅に低下する(CVE-2023-5680)
→特定のクエリをリゾルバに送信することで、namedのクエリ処理パフォーマンスが低下し、最悪の場合、リゾルバが応答しなくなる
・キャッシュデータベースの効率を維持するため、再帰リゾルバとして実行されているnamedのデータベースクリーンアップ処理に不具合があり、設定されたmax-cache-sizeを大幅に超過する(CVE-2023-6516)
→影響は環境要因によって異なるが、最悪の場合、サービス運用妨害(DoS)状態となる
・細工されたDNSSEC署名ゾーンからの応答を処理すると、CPUが枯渇する(CVE-2023-50387)
→欠陥を悪用するクエリをリゾルバに大量に送信することで、リゾルバのパフォーマンスが大幅に低下し、正当なクライアントからのDNS解決サービスを処理できなくなる
・NSEC3を使ってDNSSEC署名付きゾーンからの応答を処理すると、CPUが枯渇する(CVE-2023-50868)
→欠陥を悪用するクエリをリゾルバに大量に送信することで、リゾルバのパフォーマンスが大幅に低下し、正当なクライアントからのDNS解決サービスを処理できなくなる
JVNでは、開発者が提供する以下のパッチバージョンにアップデートするよう呼びかけている。
9.16.48
9.18.24
9.19.21
9.16.48-S1
9.18.24-S1
また開発者は、一部の脆弱性に関してワークアラウンドも提示している。
