ISC BIND に複数の脆弱性、バージョンアップを強く推奨 | ScanNetSecurity
2026.06.04(木)

ISC BIND に複数の脆弱性、バージョンアップを強く推奨

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月14日、ISC BINDにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
788 views
facebookLINE

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月14日、ISC BINDにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社日本レジストリサービス(JPRS)でもバージョンアップを強く推奨している。影響を受けるシステムは以下の通り。

・CVE-2023-4408
BIND 9.0.0から9.16.45
BIND 9.18.0から9.18.21
BIND 9.19.0から9.19.19
BIND 9.9.3-S1から9.11.37-S1(BIND Supported Preview Edition)
BIND 9.16.8-S1から9.16.45-S1(BIND Supported Preview Edition)
BIND 9.18.11-S1から9.18.21-S1(BIND Supported Preview Edition)
※BIND 9.11.37より前のバージョンおよびBIND 9.11.37-S1(BIND Supported Preview Edition)より前のバージョンは影響有無の確認をしていない。

・CVE-2023-5517
BIND 9.12.0から9.16.45
BIND 9.18.0から9.18.21
BIND 9.19.0から9.19.19
BIND 9.16.8-S1から9.16.45-S1(BIND Supported Preview Edition)
BIND 9.18.11-S1から9.18.21-S1(BIND Supported Preview Edition)

・CVE-2023-5679
BIND 9.16.12から9.16.45
BIND 9.18.0から9.18.21
BIND 9.19.0から9.19.19
BIND 9.16.12-S1から9.16.45-S1(BIND Supported Preview Edition)
BIND 9.18.11-S1から9.18.21-S1(BIND Supported Preview Edition)

・CVE-2023-5680
BIND 9.11.3-S1から9.11.37-S1(BIND Supported Preview Edition)
BIND 9.16.8-S1から9.16.45-S1(BIND Supported Preview Edition)
BIND 9.18.11-S1から9.18.21-S1(BIND Supported Preview Edition)
※BIND9.11.37-S1(BIND Supported Preview Edition)より前のバージョンは影響有無の確認をしていない。

・CVE-2023-6516
BIND 9.16.0から9.16.45
BIND 9.16.8-S1から9.16.45-S1(BIND Supported Preview Edition)

・CVE-2023-50387
BIND 9.0.0から9.16.46
BIND 9.18.0から9.18.22
BIND 9.19.0から9.19.20
BIND 9.9.3-S1から9.16.46-S1(BIND Supported Preview Edition)
BIND 9.18.11-S1から9.18.22-S1(BIND Supported Preview Edition)
※BIND 9.11.37より前のバージョンおよびBIND 9.11.37-S1(BIND Supported Preview Edition)より前のバージョンは影響有無の確認をしていない。

・CVE-2023-50868
BIND 9.0.0から9.16.46
BIND 9.18.0から9.18.22
BIND 9.19.0から9.19.20
BIND 9.9.3-S1から9.16.46-S1
BIND 9.18.11-S1から9.18.22-S1
※BIND 9.11.37より前のバージョンおよびBIND 9.11.37-S1(BIND Supported Preview Edition)より前のバージョンは影響有無の確認をしていない。

 ISC(Internet Systems Consortium)が提供するISC BINDには、遠隔の第三者によって下記の影響を受ける可能性がある複数の脆弱性が存在する。

・named内のDNSメッセージ解析コードが細工されたクエリとレスポンスを処理すると、過剰なCPU負荷が発生する(CVE-2023-4408)
→細工されたクエリを処理すると正当なクライアントからのDNS解決サービスを処理できなくなる

・nxdomain-redirect <domain>;が設定され、リゾルバが正式なNXDOMAINレスポンスとなるRFC 1918アドレスに対するPTRクエリを受け取る場合、query-handlingコードの欠陥により、namedがアサーションエラーで終了する(CVE-2023-5517)
→ひとつのクエリでnamedがクラッシュする

・DNS64とserve-staleの機能が有効となっている場合、不適切な相互作用により、namedがアサーションエラーでクラッシュする(CVE-2023-5679)
→DNS64対応リゾルバにserve-stale機能を使用するドメイン名を問い合せることで、namedがクラッシュする

・リゾルバキャッシュに非常に多くの同名のECSレコードが保存されている場合、このクリーニングプロセスによってクエリのパフォーマンスが大幅に低下する(CVE-2023-5680)
→特定のクエリをリゾルバに送信することで、namedのクエリ処理パフォーマンスが低下し、最悪の場合、リゾルバが応答しなくなる

・キャッシュデータベースの効率を維持するため、再帰リゾルバとして実行されているnamedのデータベースクリーンアップ処理に不具合があり、設定されたmax-cache-sizeを大幅に超過する(CVE-2023-6516)
→影響は環境要因によって異なるが、最悪の場合、サービス運用妨害(DoS)状態となる

・細工されたDNSSEC署名ゾーンからの応答を処理すると、CPUが枯渇する(CVE-2023-50387)
→欠陥を悪用するクエリをリゾルバに大量に送信することで、リゾルバのパフォーマンスが大幅に低下し、正当なクライアントからのDNS解決サービスを処理できなくなる

・NSEC3を使ってDNSSEC署名付きゾーンからの応答を処理すると、CPUが枯渇する(CVE-2023-50868)
→欠陥を悪用するクエリをリゾルバに大量に送信することで、リゾルバのパフォーマンスが大幅に低下し、正当なクライアントからのDNS解決サービスを処理できなくなる

 JVNでは、開発者が提供する以下のパッチバージョンにアップデートするよう呼びかけている。

9.16.48
9.18.24
9.19.21
9.16.48-S1
9.18.24-S1

 また開発者は、一部の脆弱性に関してワークアラウンドも提示している。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 「復旧は被害資産を戻すのではなく新しく構築」東山産業 ランサムウェア攻撃被害

    「復旧は被害資産を戻すのではなく新しく構築」東山産業 ランサムウェア攻撃被害

  2. 穴吹ハウジングサービスへのランサムウェア攻撃、外部に漏えいした可能性のある個人情報は 207,773 件であることを最終確認

    穴吹ハウジングサービスへのランサムウェア攻撃、外部に漏えいした可能性のある個人情報は 207,773 件であることを最終確認

  3. NTTセキュリティ・ジャパンの Mythos 解説ほか

    NTTセキュリティ・ジャパンの Mythos 解説ほか

  4. アイサンテクノロジー コーポレートサイトに不正アクセス、不適切なウェブページへ誘導される事象発生

    アイサンテクノロジー コーポレートサイトに不正アクセス、不適切なウェブページへ誘導される事象発生

  5. マネーフォワードが利用する「GitHub」の認証情報が漏えい、リポジトリがコピーされる

    マネーフォワードが利用する「GitHub」の認証情報が漏えい、リポジトリがコピーされる

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP