07/23/2024(JST)に、BIND 9の脆弱性情報(High: CVE-2024-0760, CVE-2024-1737, CVE-2024-1975, CVE-2024-4076)と新バージョン(9.18.28, 9.20.0 )が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
[過去関連リンク(最新5件)]
- BIND 9の脆弱性情報(High: CVE-2023-4408, CVE-2023-5517, CVE-2023-5679, CVE-2023-6516, CVE-2023-50387, CVE-2023-50868, Medium: CVE-2023-5680)と新バージョン(9.16.48, 9.18.24, 9.19.21 )
- BIND 9の脆弱性情報(High: CVE-2023-3341, CVE-2023-4236)と新バージョン(9.16.44, 9.18.19, 9.19.17)
- BIND 9の脆弱性情報(Hig: CVE-2023-2828, CVE-2023-2829, CVE-2023-2911)と新バージョン(9.16.42, 9.18.16, 9.19.14 )
- BIND 9の脆弱性情報(High: CVE-2022-3094, CVE-2022-3488, CVE-2022-3736, CVE-2022-3924)と新バージョン(9.16.37, 9.18.11, 9.19.9 )
- BIND 9の脆弱性情報(Hig: CVE-2022-2906, CVE-2022-3080, CVE-2022-38177, CVE-2022-38178, Medium: CVE-2022-2795,CVE-2022-2881)と新バージョン(9.16.33, 9.18.7, 9.19.5 )
- BIND 9の脆弱性情報(High: CVE-2022-1183)と新バージョン(9.16.28, 9.18.3, 9.19.1 )
一時情報源
CVSS/プライオリティ
- CVE-2024-0760
- 影響するバージョン
- BIND
- 9.18.0 -> 9.18.27
- 9.19.0 -> 9.19.24
- BIND Supported Preview Edition
- 9.18.11-S1 -> 9.18.27-S1
- BIND
- Severity
- High
- 攻撃
- リモート
- CVSS Score / CVSS Vector
- Vendor: 7.5
- CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- 影響するバージョン
- CVE-2024-1737
- 影響するバージョン
- BIND
- 9.11.0 -> 9.11.37
- 9.16.0 -> 9.16.50
- 9.18.0 -> 9.18.27
- 9.19.0 -> 9.19.24
- BIND Supported Preview Edition
- 9.11.4-S1 -> 9.11.37-S1
- 9.16.8-S1 -> 9.16.50-S1
- 9.18.11-S1 -> 9.18.27-S1
- BIND
- Severity
- High
- 攻撃
- リモート
- CVSS Score / CVSS Vector
- Vendor: 7.5
- CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- 影響するバージョン
- CVE-2024-1975
- 影響するバージョン
- BIND
- 9.0.0 -> 9.11.37
- 9.16.12 -> 9.16.50
- 9.18.0 -> 9.18.27
- 9.19.0 -> 9.19.24
- BIND Supported Preview Edition
- 9.9.3-S1 -> 9.11.37-S1
- 9.16.8-S1 -> 9.16.49-S1
- 9.18.11-S1 -> 9.18.27-S1
- BIND
- Severity
- High
- 攻撃
- リモート
- CVSS Score / CVSS Vector
- Vendor: 7.5
- CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- 影響するバージョン
- CVE-2024-4076
- 影響するバージョン
- BIND
- 9.16.13 -> 9.16.50
- 9.18.0 -> 9.18.27
- 9.19.0 -> 9.19.24
- BIND Supported Preview Edition
- 9.11.33-S1 -> 9.11.37-S1
- 9.16.13-S1 -> 9.16.50-S1
- 9.18.11-S1 -> 9.18.28-S1
- BIND
- Severity
- High
- 攻撃
- リモート
- CVSS Score / CVSS Vector
- Vendor: 7.5
- CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- 影響するバージョン
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- https://kb.isc.org/docs/cve-2024-0760
- 重要度 – High
- 攻撃 – リモート
- TCPでの膨大なDNSメッセージによりサーバが不安定になる可能性
- 説明:悪意のあるクライアントがTCPでDNSメッセージを大量に送ってきた場合、処理の間サーバが不安定になる可能性があります。攻撃が中断された場合にサーバーは復旧します。ACLを使用しても攻撃を防ぐことは出来ません。
- 影響:この攻撃を受けている際には、攻撃が終わるまでサーバは応答が出来なくなります。
- 緩和策:今の所存在しません。
- エクスプロイト:今の所観測されていません
- https://kb.isc.org/docs/cve-2024-1737
- 重要度 – High
- 攻撃 – リモート
- 非常に多数のRR(リソースレコード)が同じ名前で存在している際にBINDのデータベースが遅くなる可能性
- 説明:リゾルバキャッシュと権威ゾーンデータベースが多くのRR(リソースレコード)を(任意のRTYPE:リソースタイプの)同じホスト名で非常に多数所有している場合、コンテンツの追加や更新、またはクライアントによるこの名前のクエリを処理する際に、非常にパフォーマンスが悪くなります。
- 影響:クエリの速度が100倍遅くなる可能性があります。
- 緩和策:今の所存在しません。
- https://kb.isc.org/docs/cve-2024-1975
- 重要度 – High
- 攻撃 – リモート
- SIG(0)によりCPUリソースの枯渇が発生する問題
- 説明:サーバが”KEY”リソースレコードを含むゾーンを提供している場合、或いはリゾルバがキャッシュ内のDNSSSEC署名されたドメインからの”KEY”リソースレコードをDNSSEC検証している場合、クライアントがSIG(0)署名されたリクエストのストリームを送ることでリゾルバのCPUリソースを枯渇させる可能性があります。
- 影響:CPUリソースの枯渇によりBINDがお応答しなくなる可能性があります。
- 緩和策:今の所存在しません。
- https://kb.isc.org/docs/cve-2024-4076
- 重要度 – High
- 攻撃 – リモート
- 古いキャッシュデータと権威ゾーンコンテンツの両方を提供している場合にアサーションフェーラーが発生する可能性
- 説明:クライアントクエリーが古いデータとローカル権威ゾーンデータの検索を行うことでアサーションフェーラーが発生する可能性があります。
- 影響:namedインスタンスがこのエラーにより意図せず終了する可能性があります。
- 緩和策:serve-stale応答を無効化する事でこの問題を緩和することが出来ます。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS/Rocky Linux/Alma Linux
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。
