こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。
09/21/2022(JST)に、予告通りBIND 9の脆弱性情報(Hig: CVE-2022-2906, CVE-2022-3080, CVE-2022-38177, CVE-2022-38178, Medium: CVE-2022-2795,CVE-2022-2881)と新バージョン(9.16.33, 9.18.7, 9.19.5 )が公開されています。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
[過去の関連リンク(最新5件)]
BIND 9の脆弱性情報(High: CVE-2022-1183)と新バージョン(9.16.28, 9.18.3, 9.19.1 )
BIND 9の脆弱性情報(High: CVE-2021-25218)と新バージョン(9.11.35, 9.16.20, 9.17.17 )
一次情報源
BIND 9 Security Vulnerability Matrix
| CVE番号 | 影響するバージョン | プライオリティ | 攻撃 | CVSS Score | CVSS Vector |
|---|---|---|---|---|---|
| CVE-2022-2795 | BIND 9.0.0 – 9.16.32, 9.18.0 – 9.18.6, 9.19.0 – 9.19.4, 9.0.3-S1 – 9.11.37-S1, 9.16.8-S1 – 9.16.32-S1 | Medium | リモート | CVSS Score: 5.3 | CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
| CVE-2022-2881 | BIND 9.18.0 – 9.18.6, 9.19.0 – 9.19.4 | Medium | リモート | CVSS Score: 5.5 | CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:H |
| CVE-2022-2906 | BIND 9.18.0 – 9.18.6, 9.19.0 – 9.19.4 | High | リモート | CVSS Score: 7.5 | CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| CVE-2022-3080 | BIND 9.16.14 – 9.16.32, 9.18.0 – 9.18.6, 9.19.0 – 9.19.4 | High | リモート | CVSS Score: 7.5 | CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| CVE-2022-38177 | BIND 9.8.4 – 9.16.32, 9.9.4-S1 – 9.11.37-S1, 9.16.8-S1 – 9.16.32-S1 | High | リモート | CVSS Score: 7.5 | CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| CVE-2022-38178 | BIND 9.9.12 – 9.9.13, 9.10.7 – 9.10.8, 9.11.3 – 9.16.32, 9.18.0 – 9.18.6, 9.19.0 – 9.19.4 | High | リモート | CVSS Score: 7.5 | CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- https://kb.isc.org/docs/cve-2022-2795
- 重要度 – Medium
- 攻撃 – リモート
- 説明:リゾルバのコードに問題が見つかりました。これにより、大規模な権限委譲の処理でnamedが角の時間を費やす可能性があります。
- 緩和策:なし
- https://kb.isc.org/docs/cve-2022-2881
- 重要度 – Medium
- 攻撃 – リモート
- 説明:statistics チャネルからstatisticsを要求するためにHTTP接続が再利用された場合、連続する応答のコンテンツ長が割り当てられたバッファの末尾を超えてサイズが大きくなる可能性があります。
- 緩和策:statstics チャネルを無効にすることで緩和できます。
- https://kb.isc.org/docs/cve-2022-2906
- 重要度 – High
- 攻撃 – リモート
- 説明:OpenSSL 1.xからOpenSSL 3.0への変更に伴い、OpenSSL 3.0.0以降のバージョンでDiffie-HellmanモードでTKEYを使用している場合、キーの処理中にnamed中でメモリリークを起こす可能性があります。
GSS-TSIGモードでのTKEYレコード処理は、この問題の影響を受けません。メモリリークは、権限のあるDNSサーバーがTKEY レコードを処理する際にのみ影響します。クライアント処理(リゾルバー機能)では、この欠陥のトリガーを踏みません。
- 迂回策: なし。
- https://kb.isc.org/docs/cve-2022-3080
- 重要度 – High
- 攻撃 – リモート
- 説明:Stale CacheとStale Answerが有効になっていて、かつstale-answer-client-timeoutが0に設定されている場合、受信したクエリのキャッシュに古いCNAMEが入っている場合にBIND 9 リゾルバがクラッシュする可能性があります。
- 迂回策: stale-answer-client-timeoutをoffにするか、1以上の値にすることで問題を迂回することが可能です。
- https://kb.isc.org/docs/cve-2022-38177
- 重要度 – High
- 攻撃 – リモート
- 説明:ECDSAアルゴリズムの確認コードに問題があり、署名長が一致していない場合にメモリリークが起きる可能性があります。
- 迂回策: 設定ファイル中でdisable-algorithmsでoption: ECDSAP256SHA256, ECDSAP384SHA384を無効にすることで問題を迂回することができます。この設定をすると、これらのアルゴリズムで署名されたゾーンが安全でないものとして扱われることに注意してください。
- https://kb.isc.org/docs/cve-2022-38178
- 重要度 – High
- 攻撃 – リモート
- 説明:EdDSAアルゴリズムの確認コードに問題があり、署名長が一致していない場合にメモリリークが起きる可能性があります。
- 迂回策: 設定ファイル中でdisable-algorithmsでoption: ED25519, ED448を無効にすることで問題を迂回することができます。この設定をすると、これらのアルゴリズムで署名されたゾーンが安全でないものとして扱われることに注意してください。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
https://security-tracker.debian.org/tracker/CVE-2022-2795
https://security-tracker.debian.org/tracker/CVE-2022-2881
https://security-tracker.debian.org/tracker/CVE-2022-2906
https://security-tracker.debian.org/tracker/CVE-2022-3080
- Red Hat Enterprise Linux/CentOS
https://access.redhat.com/security/cve/CVE-2022-2795
https://access.redhat.com/security/cve/CVE-2022-2881
https://access.redhat.com/security/cve/CVE-2022-2906
https://access.redhat.com/security/cve/CVE-2022-3080
- Ubuntu
https://ubuntu.com/security/CVE-2022-2795
https://ubuntu.com/security/CVE-2022-2881
https://ubuntu.com/security/CVE-2022-2906
https://ubuntu.com/security/CVE-2022-3080
- SUSE/openSUSE
https://www.suse.com/security/cve/CVE-2022-2795.html
https://www.suse.com/security/cve/CVE-2022-2881.html
https://www.suse.com/security/cve/CVE-2022-2906.html
https://www.suse.com/security/cve/CVE-2022-3080.html
- Arch
https://security.archlinux.org/CVE-2022-2795
https://security.archlinux.org/CVE-2022-2881
https://security.archlinux.org/CVE-2022-2906
https://security.archlinux.org/CVE-2022-3080
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。
また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。
[参考]
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/docs/cve-2022-2795
https://kb.isc.org/docs/cve-2022-2881
日々のメモを更新しています。
セキュリティ関係ニュースを更新しています。個別で情報出せるようになる前の簡単な情報・リンクなんかも載せていきます。
セミナー情報
今年も情報処理学会のCSS2022(有償)中でOWS2022を開催致します。
コンピュータセキュリティシンポジウム2022 (CSS2022)
■開催期間 2022年10月24日(月) ~ 2022年10月27日(木)
■会場 熊本城ホールとオンライン(ZOOM)のハイブリッド開催
主催 一般社団法人 情報処理学会 コンピュータセキュリティ研究会(CSEC)
共催 一般社団法人 情報処理学会 セキュリティ心理学とトラスト研究会(SPT)
合同開催
- マルウェア対策研究人材育成ワークショップ2022(MWS2022)
- プライバシーワークショップ2022(PWS2022)
- ユーザブルセキュリティワークショップ2022(UWS2022)
- OSSセキュリティ技術ワークショップ2022(OWS2022)
- ブロックチェーンセキュリティワークショップ2022(BWS2022)
OWS2022では、企画講演セッションの他に、招待講演として「タイトル:オープンソースソフトウェアをより安全にするための取組み」と題してLinux Foundationの方に講演いただきます。
他にもOSSのセキュリティに関する講演や論文発表が目白押しです。奮ってご参加ください。
