BIND 9の脆弱性情報(High: CVE-2023-4408, CVE-2023-5517, CVE-2023-5679, CVE-2023-6516, CVE-2023-50387, CVE-2023-50868, Medium: CVE-2023-5680)と新バージョン(9.16.48, 9.18.24, 9.19.21 )

02/14/2024(JST)に、BIND 9の脆弱性情報(High: CVE-2023-4408, CVE-2023-5517, CVE-2023-5679, CVE-2023-6516, CVE-2023-50387(KeyTrap), CVE-2023-50868, Medium: CVE-2023-5680)と新バージョン(9.16.48, 9.18.24, 9.19.21 )が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

[過去関連リンク(最新5件)]

一次情報源

CVSS/プライオリティ

  • CVE-2023-4408
    • 影響するバージョン
      • BIND
        • 9.0.0 -> 9.16.45
        • 9.18.0 -> 9.18.21
        • 9.19.0 -> 9.19.19
      • BIND Supported Preview Edition
        • 9.9.3-S1 -> 9.11.37-S1
        • 9.16.8-S1 -> 9.16.45-S1
        • 9.18.11-S1 -> 9.18.21-S1
    • Severity
      • High
    • 攻撃
      • リモート
    • CVSS Score / CVSS Vector
      • Vendor: 7.5
      • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • CVE-2023-5517
    • 影響するバージョン
      • BIND
        • 9.12.0 -> 9.16.45
        • 9.18.0 -> 9.18.21
        • 9.19.0 -> 9.19.19
      • BIND Supported Preview Edition
        • 9.16.8-S1 -> 9.16.45-S1
        • 9.18.11-S1 -> 9.18.21-S1
    • Severity
      • High
    • 攻撃
      • リモート
    • CVSS Score / CVSS Vector
      • Vendor: 7.5
      • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • CVE-2023-5679
    • 影響するバージョン
      • BIND
        • 9.16.12 -> 9.16.45
        • 9.18.0 -> 9.18.21
        • 9.19.0 -> 9.19.19
      • BIND Supported Preview Edition
        • 9.16.12-S1 -> 9.16.45-S1
        • 9.18.11-S1 -> 9.18.21-S1
    • Severity
      • High
    • 攻撃
      • リモート
    • CVSS Score / CVSS Vector
      • Vendor: 7.5
      • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • CVE-2023-5680
    • 影響するバージョン
      • BIND Supported Preview Edition
        • 9.11.3-S1 -> 9.11.37-S1
        • 9.16.8-S1 -> 9.16.45-S1
        • 9.18.11-S1 -> 9.18.21-S1
    • Severity
      • Medium
    • 攻撃
      • リモート
    • CVSS Score / CVSS Vector
      • Vendor: 5.3
      • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
  • CVE-2023-6516
    • 影響するバージョン
      • BIND
        • 9.16.0 -> 9.16.45
      • BIND Supported Preview Edition
        • 9.16.8-S1 -> 9.16.45-S1
    • Severity
      • High
    • 攻撃
      • リモート
    • CVSS Score / CVSS Vector
      • Vendor: 7.5
      • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • CVE-2023-50387
    • 影響するバージョン
      • BIND
        • 9.0.0 -> 9.16.46
        • 9.18.0 -> 9.18.22
        • 9.19.0 -> 9.19.20
      • BIND Supported Preview Edition
        • 9.9.3-S1 -> 9.16.46-S1
        • 9.18.11-S1 -> 9.18.22-S1
    • Severity
      • High
    • 攻撃
      • リモート
    • CVSS Score / CVSS Vector
      • Vendor: 7.5
      • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
  • CVE-2023-50868
    • 影響するバージョン
      • BIND
        • 9.0.0 -> 9.16.46
        • 9.18.0 -> 9.18.22
        • 9.19.0 -> 9.19.20
      • BIND Supported Preview Edition
        • 9.9.3-S1 -> 9.16.46-S1
        • 9.18.11-S1 -> 9.18.22-S1
    • Severity
      • High
    • 攻撃
      • リモート
    • CVSS Score / CVSS Vector
      • Vendor: 7.5
      • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • https://kb.isc.org/docs/cve-2023-4408
    • 重要度 – High
    • 攻撃 – リモート
    • 大きいDNSメッセージの処理でCPU負荷が過大になる可能性
    • 説明:namedでのDNSメッセージを処理するコードで計算の複雑さが高くなりすぎるようなセクションが入っていました。これにより、namedで特別なDNSトラフィックだけでなく細工されたクエリと応答の処理でもCPUの負荷が高くなります。この問題は権威サーバ・再帰的リゾルバサーバのどちらでも問題になります。
    • 影響:攻撃者はこの問題を悪用して、クエリを標的のサーバーに大量に送信することでサーバーのパフォーマンスを大幅に低下させ、正当なクライアントによるDNS解決サービスへのアクセスを事実上拒否させることができるる可能性があります。
    • 緩和策:今の所存在しません。
    • エクスプロイト:今の所観測されていません
  • https://kb.isc.org/docs/cve-2023-5517
    • 重要度 – High
    • 攻撃 – リモート
    • RFC 1918(Private Network)のリバースゾーンクエリでnxdomain-redirectが有効になっている場合アサーションフェーラーが発生する可能性
    • 説明:クエリ処理のコードに問題があり、下記の条件でnamedがアサーションフェーラーで終了になっしまいます。
      • nxdomain-redicet ; が設定されていて
      • 権威NXDOMAIN応答によりリゾルバがRFC 1918(Private Network)アドレスのPTRクエリを受けた際
    • 影響:両方の条件が揃った時にnamedがクラッシュします。
    • 緩和策:nxdomain-redirect機能を無効にすることでこの問題を迂回することが出来ます。
  • https://kb.isc.org/docs/cve-2023-5679
    • 重要度 – High
    • 攻撃 – リモート
    • DNS64とserve-staleの両方を有効にすることにより再帰的解決の際にアサーションフェーラーが発生する問題
    • 説明:DNS64とserve-staleの悪い相互作用により、両方が有効になっていた場合にnamedがアサーションフェーラーでクラッシュします。
    • 影響:DNS64が有効になったリゾルバでドメイン名がserve-staleをトリガーするクエリが発生した場合、攻撃者はnamedをアサーションフェーラーでクラッシュさせることが出来ます。
    • 緩和策:serve-staleを「stale-cache-enabled no;」か「stale-answer-enable no;」で無効にするか、「dns64」を無効にすることでこの問題を迂回することが出来ます。
  • https://kb.isc.org/docs/cve-2023-5680
    • 重要度 – Medium
    • 攻撃 – リモート
    • ECS-enabledキャッシュのクリーンの際にCPU負荷が過大になる問題
    • 説明:リゾルバキャッシュが巨大な下図のECSレコードを同じ名前として保存している場合に、プロセスがキャッシュデータベースノードのクリーンを行う際にクエリパフォーマンスが非常に悪くなります。
    • 影響:特別なクエリをリゾルバに送った際に、攻撃者はnamedのクエリ処理能力を下げることが出来ます。悪いケースの場合、リゾルバは完全に応答しなくなります。
    • 緩和策:ECS機能を完全に無効化する以外にワークアラウンドはありません。
  • https://kb.isc.org/docs/cve-2023-6516
    • 重要度 – High
    • 攻撃 – リモート
    • 特別な再帰的クエリパターンによりout-of-memory状態を引き起こす可能性
    • 説明:効率的なデータベースキャッシュをキープするために、再帰的リゾルバとして実行されているnamedはデータベースをクリーンアップしようとすることがあります。これは、非同期のものをふくむ幾つかの方法を使用します。メモリの小さなチャンクがクリーンアップ可能なキャッシュ要素を指すのに割り当てられ、その後、処理のためにキューに入れられます。リゾルバがこのタイプのキャッシュデータベースメンテナンスを実行するクエリパターンを常に処理している場合、namedはクリーンアップイベントをタイムリーに処理できない可能性があります。これにより、キューに入れたクリーンアップイベントリストが無限に大きくなり、max-cache-sizeの値を大幅に超える可能性があります。
    • 影響:この脆弱性を悪用して、攻撃者はnamedリゾルバにmax-cache-sizeを超える巨大なメモリを使用させることができます。これを有効に用いるには攻撃者の環境に依存しますが、最悪のケースでは攻撃者がnamedを動かしているホストのメモリを完全に食いつぶし、DoS状態にすることが出来ます。
    • 緩和策:緩和策はありません。
  • https://kb.isc.org/docs/cve-2023-50387
    • 重要度 – High
    • 攻撃 – リモート
    • KeyTrap – DNSSEC検証で巨大なCPUが消費される
    • 説明:特別に細工されたDNSSEC署名されたゾーンの応答処理により、DNSSEC検証で巨大なCPUが消費されます。
    • 影響:攻撃者はこの欠陥を悪用したクエリをターゲットのリゾルバに大量に送信することで、リゾルバのパフォーマンスを大幅に低下させ、正規のクライアントによるDNS解決サービスへのアクセスを事実上拒否させることができる可能性があります。
    • 緩和策:推奨しませんが、DNSSEC検証を無効にすることでこの脆弱性を取り除くことが出来ます。しかし、BINDの更新を強く推奨します。
  • https://kb.isc.org/docs/cve-2023-50868
    • 重要度 – High
    • 攻撃 – リモート
    • NSEC3への備えのための「closest encloser proof」により、CPUが枯渇する可能性
    • 説明:DNSSEC署名されたNSECを使用しているゾーンからの応答を処理する際に、DNSSEC検証でCPUが枯渇する可能性があります。
    • 影響:攻撃者はこの欠陥を悪用したクエリをターゲットのリゾルバに大量に送信することで、リゾルバのパフォーマンスを大幅に低下させ、正規のクライアントによるDNS解決サービスへのアクセスを事実上拒否させることができる可能性があります。
    • 緩和策:こちらも推奨しませんが、DNSSEC検証を無効にすることでこの脆弱性を取り除くことが出来ます。しかし、BINDの更新を強く推奨します。また、権威サーバのオペレータが現在のベストプラクティス文書であるRFC 9276に従うことをお薦めします。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

タイトルとURLをコピーしました