BIND 9の脆弱性情報(High: CVE-2024-11187, CVE-2024-12705)と新バージョン(9.18.33, 9.20.5 9.21.4)

01/30/2025(JST)に、予告通りBIND 9の脆弱性情報(High: CVE-2024-11187, CVE-2024-12705)と新バージョン(9.18.33, 9.20.5 9.21.4)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

[過去関連リンク(最新5件)]

• BIND 9の脆弱性情報(High: CVE-2024-0760, CVE-2024-1737, CVE-2024-1975, CVE-2024-4076)と新バージョン(9.18.28, 9.20.0 )
• BIND 9の脆弱性情報(High: CVE-2023-4408, CVE-2023-5517, CVE-2023-5679, CVE-2023-6516, CVE-2023-50387, CVE-2023-50868, Medium: CVE-2023-5680)と新バージョン(9.16.48, 9.18.24, 9.19.21 )
• BIND 9の脆弱性情報(High: CVE-2023-3341, CVE-2023-4236)と新バージョン(9.16.44, 9.18.19, 9.19.17)
• BIND 9の脆弱性情報(Hig: CVE-2023-2828, CVE-2023-2829, CVE-2023-2911)と新バージョン(9.16.42, 9.18.16, 9.19.14 )

一次情報源

BIND 9 Security Vulnerability Matrix

CVSS/プライオリティ

• CVE-2024-11187
  • 影響するバージョン
    • BIND
      • 9.11.0 -> 9.11.37
      • 9.16.0 -> 9.16.50
      • 9.18.0 -> 9.18.32
      • 9.20.0 -> 9.20.4
      • 9.21.0 -> 9.21.3
    • BIND Supported Preview Edition
      • 9.11.3-S1 -> 9.11.37-S1
      • 9.16.8-S1 -> 9.16.50-S1
      • 9.18.11-S1 -> 9.18.32-S1
  • Severity
    • High
  • 攻撃
    • リモート
  • CVSS Score / CVSS Vector
    • Vendor: 7.5
    • CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
• CVE-2024-12705
  • 影響するバージョン
    • BIND
      • 9.18.0 -> 9.18.32
      • 9.20.0 -> 9.20.4
      • 9.21.0 -> 9.21.3
    • BIND Supported Preview Edition
      • 9.18.11-S1 -> 9.18.32-S1
  • Severity
    • High
  • 攻撃
    • リモート
  • CVSS Score / CVSS Vector
    • Vendor: 7.5
    • CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• https://kb.isc.org/docs/cve-2024-11187
  • 重要度 – High
  • 攻撃 – リモート
  • additionalセクションに多数のレコードがある場合CPUが枯渇する可能性
  • 説明：レスポンスのAdditionalセクションに多くのレコードを含むようにクエリを生成するゾーンを構築することが可能です。攻撃者がそのようなクエリを多数送ってきた場合に、権威サーバや独立したリゾルバに、この処理のためにリソースに不釣り合いな処理が行われる可能性があります。ゾーンは通常、この攻撃が出来るように意図的に構成されている必要があります。
  • 影響：この問題に当てはまるnamedインスタンスはリソースが枯渇し、サーバーが他のクライアントのクエリに応答できなくなるまで過剰なCPUリソースを消費する可能性があります。この問題はリゾルバーに影響を与える可能性が最も高いですが、権威サーバーのパフォーマンスも低下する可能性があります。
    • 権威サーバはこの脆弱性の影響を受けます。
    • リゾルバはこの脆弱性の影響を受けません。
  • 緩和策：”minimal-responses yes;”オプションを設定することでこの問題を迂回することが出来ます。
  • エクスプロイト：今の所観測されていません
• https://kb.isc.org/docs/cve-2024-12705
  • 重要度 – High
  • 攻撃 – リモート
  • クエリ処理が重い場合にDNS-over-HTTPS実装が幾つかの影響を受ける可能性
  • 説明：DNS-over-HTTPS (DoH)をクライアントが使用している場合に、細工された大量の有効／無効なHTTP/2トラフィックによってDNSリゾルバのCPU/メモリが枯渇する可能性があります。
  • 影響：標的となるリゾルバにHTTP/2トラフィックを大量に送ることにより、攻撃者はサーバのCPU/メモリ使用率を過負荷にし、他のクライアントがDoH接続できないようにする可能性があります。これにより、リゾルバのパフォーマンスが低下し、正規のクライアントによる名前解決サービスが事実上不可能になります。
    • 権威サーバはこの脆弱性の影響を受けます。
    • リゾルバはこの脆弱性の影響を受けません。
  • 緩和策：Mondaiha DNS-over-HTTPSプロトコルを使用している場合にのみ発生し、DoHが有効になっていないインスタンスには影響を与えません。
  • エクスプロイト：今の所観測されていません

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2024-11187
  • https://security-tracker.debian.org/tracker/CVE-2024-12705
• Red Hat Enterprise Linux/CentOS/Rocky Linux/Alma Linux
  • https://access.redhat.com/security/cve/CVE-2024-11187
  • https://access.redhat.com/security/cve/CVE-2024-12705
• Ubuntu
  • https://ubuntu.com/security/CVE-2024-11187
  • https://ubuntu.com/security/CVE-2024-12705
• SUSE/openSUSE
  • https://www.suse.com/security/cve/CVE-2024-11187.html
  • https://www.suse.com/security/cve/CVE-2024-12705.html

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

• BIND 9 Security Vulnerability Matrix
• https://kb.isc.org/docs/cve-2024-11187
• https://kb.isc.org/docs/cve-2024-12705