独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月30日、ISC BINDにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
・CVE-2024-11187
BIND 9.11.0から9.11.37
BIND 9.16.0から9.16.50
BIND 9.18.0から9.18.32
BIND 9.20.0から9.20.4
BIND 9.21.0から9.21.3
BIND 9.11.3-S1から9.11.37-S1(BIND Supported Preview Edition)
BIND 9.16.8-S1から9.16.50-S1(BIND Supported Preview Edition)
BIND 9.18.11-S1から9.18.32-S1(BIND Supported Preview Edition)
※BIND 9.11.37より前のバージョンおよびBIND 9.11.37-S1(BIND Supported Preview Edition)より前のバージョンは影響有無の確認をしていない
・CVE-2024-12705
BIND 9.18.0から9.18.32
BIND 9.20.0から9.20.4
BIND 9.21.0から9.21.3
BIND 9.18.11-S1から9.18.32-S1(BIND Supported Preview Edition)
※BIND 9.18.27より前のバージョンおよびBIND 9.18.27-S1(BIND Supported Preview Edition)より前のバージョンは影響有無の確認をしていない
ISC(Internet Systems Consortium)が提供するISC BINDには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・一部のクエリが追加セクションに多数のレコードを含む応答を生成するゾーンを構築できるため、権威サーバ自体または独立したリゾルバがクエリを処理するためには不釣り合いなリソースを消費する(CVE-2024-11187)
→ namedインスタンスはCPUリソースが枯渇するまで過剰に消費させられ、サーバーが他のクライアントのクエリに応答できなくされる
・DNS-over-HTTPS(DoH)を使用するクライアントが、細工された有効または無効なHTTP/2トラフィックを送信するとDNSリゾルバのCPUやメモリが枯渇する(CVE-2024-12705)
→ターゲットのリゾルバにHTTP/2トラフィックを大量に送り込まれることで、サーバを過負荷状態にさせられたり、CPUやメモリの使用率を上昇させられ、他のクライアントがDoH接続を確立できないようにされ、リゾルバのパフォーマンスを大幅に低下され、正規のクライアントがDNS解決サービスにアクセスできなくされる
JVNでは、開発者が提供する下記のパッチバージョンにアップデートするよう呼びかけている。
9.18.33
9.20.5
9.21.4
9.18.33-S1
