BIND 9にサーバの異常終了を引き起こす複数の脆弱性 急ぎアップデートを

BIND 9に複数の脆弱性が存在することが明らかになった。ISCはこれら脆弱性の深刻度を「重要」（High）に分類しており注意が必要だ。該当ソフトウェアを使用している場合は迅速にアップデートや回避策を適用してほしい。

[後藤大地，有限会社オングス]

　JPCERTコーディネーションセンター（JPCERT/CC）は2023年1月26日、非営利団体Internet Systems Consortium（ISC）が開発、配布するDNSサーバソフトウェア「ISC BIND 9」（BIND 9）に複数の脆弱（ぜいじゃく）性が存在すると伝えた。

　これらを悪用すると、遠隔からのサイバー攻撃によってサーバが異常終了する可能性がある。アップデートや回避策の適用が推奨される。

JPCERT/CCはBIND 9における複数の脆弱性について伝えた（出典：JPCERT/CCのブログ）

遠隔からBINDをサービス運用妨害に追い込む脆弱性

　ISCからはBIND 9に存在する脆弱性として以下の4つが報告されている。

• CVE-2022-3094：UPDATEメッセージのフラッドにより、namedが使用可能な全てのメモリを使い果たす可能性がある
• CVE-2022-3488：反復クエリへの繰り返し応答でECSオプションを処理すると、指定されたBINDサポートプレビューエディションが予期せず終了することがある
• CVE-2022-3736：古いキャッシュから応答するように構成されたnamedが、RRSIGクエリの処理中に予期せず終了することがある
• CVE-2022-3924：古いキャッシュから応答するように構成されたnamedは、再帰クライアントのソフトクォータで予期せず終了する可能性がある

　脆弱性ごとに影響を受けるバージョンは以下の通りだ。

　【CVE-2022-3094】

• BIND 9.16.0〜9.16.36
• BIND 9.18.0〜9.18.10
• BIND 9.19.0〜9.19.8
• BIND Supported Preview Edition 9.16.8-S1〜9.16.36-S1

　【CVE-2022-3488】

• BIND Supported Preview Edition 9.11.4-S1〜9.11.37-S1
• BIND Supported Preview Edition 9.16.8-S1〜9.16.36-S1

　【CVE-2022-3736】

• BIND 9.16.12〜9.16.36
• BIND 9.18.0〜9.18.10
• BIND 9.19.0〜9.19.8
• BIND Supported Preview Edition 9.16.12-S1〜9.16.36-S1

　【CVE-2022-3924】

• BIND 9.16.12〜9.16.36
• BIND 9.18.0〜9.18.10
• BIND 9.19.0〜9.19.8
• BIND BIND Supported Preview Edition 9.16.12-S1〜9.16.36-S1

　これらの脆弱性を利用された場合、サイバー攻撃者によって遠隔からサーバにサービス運用妨害（DoS）状態を引き起こされる可能性がある。深刻度は「重要」（High）に分類されている。

　BIND 9はインターネットにおける名前解決を担うソフトウェアとして広く利用されている。BIND 9の脆弱性は悪用された場合、影響範囲が広大になる危険性があるため、迅速にアップデートや回避策を適用してほしい。