BIND 9の脆弱性情報(Hig: CVE-2023-2828, CVE-2023-2829, CVE-2023-2911)と新バージョン(9.16.42, 9.18.16, 9.19.14 )

06/21/2023(JST)に、予告通りBIND 9の脆弱性情報(Hig: CVE-2023-2828, CVE-2023-2829, CVE-2023-2911)と新バージョン(9.16.42, 9.18.16, 9.19.14 )が公開されています。いずれもリモートからの悪用が可能でHighのものばかりです。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

[過去関連リンク(最新5件)]

一時情報源

CVSS/プライオリティ

  • CVE-2023-2828
    • 影響するバージョン
      • BIND
        • 9.11.0 -> 9.16.41
        • 9.18.0 -> 9.18.15
        • 9.19.0 -> 9.19.13
      • BIND Supported Preview Edition
        • 9.11.3-S1 -> 9.16.41-S1
        • 9.18.11-S1 -> 9.18.15-S1
    • Severity
      • High
    • 攻撃
      • リモート
    • CVSS Score / CVSS Vector
      • Vendor: 7.5
      • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • CVE-2023-2829
    • 影響するバージョン
      • BIND Supported Preview Edition
        • 9.16.8-S1 -> 9.16.41-S1
        • 9.18.11-S1 -> 9.18.15-S1
    • Severity
      • High
    • 攻撃
      • リモート
    • CVSS Score / CVSS Vector
      • Vendor: 7.5
      • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • https://kb.isc.org/docs/cve-2023-2828
    • 重要度 – High
    • 攻撃 – リモート
    • 説明:再帰的リゾルバとして実行されるように設定された全てのnamedインスタンスは、キャッシュデータベースを権限のあるサーバに最近送信したクエリに対する応答保持のために維持しています。キャッシュデータベースのサイズ制限は、設定ファイルのmax-cache-sizeを使用して構成できます。デフォルトではホストで利用可能になっているメモリの90%になります。キャッシュサイズが制限の7/8になると、キャッシュクリーニングアルゴリズムによりエクスパイアしたり直近で使用されていないRRsetがキャッシュから削除され、メモリ使用量が制限以下に維持されます。特定の順序で特定のRRsetをリゾルバにクエリした際に、namedで使用されるキャッシュクリーニングアルゴリズムが意味をなさなくなり、設定された最大キャッシュサイズ制限を大幅に超える可能性があることがわかりました。
    • 影響:この脆弱性を悪用することで、攻撃者はnamedリゾルバのメモリ使用率を、max-cache-size制限を大幅に超えさせることができます。攻撃の有効性はクエリロード、クエリパターンなどの要素によっても変わってきますが、最悪の場合攻撃者はnamedが動作しているホストの有効なメモリを食いつぶさせることが出来、DoSに繋がります。
    • 緩和策:なし
  • https://kb.isc.org/docs/cve-2023-2829
    • 重要度 – High
    • 攻撃 – リモート
    • 説明:DNSSEC検証済みキャッシュの積極的使用(RFC8198)オプション(synth-from-dnssec)を有効にしてDNSSEC検証再帰リゾルバとして実行されるように構成されたnamedインスタンスは、不正な形式のNSECレコードを持つゾーンを使うことでリモートから終了させることが出来ます。
    • 影響:特別に細工されたクエリをリゾルバに送ることで、攻撃者はリモートのnamedを終了させることが可能です。
    • 緩和策:synth-from-dnssec を no に設定することで脆弱性を回避できます。
  • https://kb.isc.org/docs/cve-2023-2911
    • 重要度 – High
    • 攻撃 – リモート
    • 説明:stale-answer-enable yes; でかつstale-answer-client-timeout 0; と設定されたBIND 9 リゾルバがrecursive-clientsのクオータ制限に達した際に、serve-stale-related検索がnamedをループに陥れてスタックオーバーフローによりnamedを強制終了させます。
    • 影響:特別に細工されたクエリをリゾルバに送ることで、攻撃者はリモートのnamedを強制終了させることが出来ます。
    • 迂回策: stale-answer-client-timeout を0にするか off/disabledにすることで、この問題によるBINDのクラッシュを防止することが出来ます。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

[参考]

タイトルとURLをコピーしました