ニュース
BIND 9にサーバの異常終了を引き起こす複数の脆弱性 急ぎアップデートを
BIND 9に複数の脆弱性が存在することが明らかになった。ISCはこれら脆弱性の深刻度を「重要」(High)に分類しており注意が必要だ。該当ソフトウェアを使用している場合は迅速にアップデートや回避策を適用してほしい。
JPCERTコーディネーションセンター(JPCERT/CC)は2023年1月26日、非営利団体Internet Systems Consortium(ISC)が開発、配布するDNSサーバソフトウェア「ISC BIND 9」(BIND 9)に複数の脆弱(ぜいじゃく)性が存在すると伝えた。
これらを悪用すると、遠隔からのサイバー攻撃によってサーバが異常終了する可能性がある。アップデートや回避策の適用が推奨される。
遠隔からBINDをサービス運用妨害に追い込む脆弱性
ISCからはBIND 9に存在する脆弱性として以下の4つが報告されている。
- CVE-2022-3094:UPDATEメッセージのフラッドにより、namedが使用可能な全てのメモリを使い果たす可能性がある
- CVE-2022-3488:反復クエリへの繰り返し応答でECSオプションを処理すると、指定されたBINDサポートプレビューエディションが予期せず終了することがある
- CVE-2022-3736:古いキャッシュから応答するように構成されたnamedが、RRSIGクエリの処理中に予期せず終了することがある
- CVE-2022-3924:古いキャッシュから応答するように構成されたnamedは、再帰クライアントのソフトクォータで予期せず終了する可能性がある
脆弱性ごとに影響を受けるバージョンは以下の通りだ。
【CVE-2022-3094】
- BIND 9.16.0〜9.16.36
- BIND 9.18.0〜9.18.10
- BIND 9.19.0〜9.19.8
- BIND Supported Preview Edition 9.16.8-S1〜9.16.36-S1
【CVE-2022-3488】
- BIND Supported Preview Edition 9.11.4-S1〜9.11.37-S1
- BIND Supported Preview Edition 9.16.8-S1〜9.16.36-S1
【CVE-2022-3736】
- BIND 9.16.12〜9.16.36
- BIND 9.18.0〜9.18.10
- BIND 9.19.0〜9.19.8
- BIND Supported Preview Edition 9.16.12-S1〜9.16.36-S1
【CVE-2022-3924】
- BIND 9.16.12〜9.16.36
- BIND 9.18.0〜9.18.10
- BIND 9.19.0〜9.19.8
- BIND BIND Supported Preview Edition 9.16.12-S1〜9.16.36-S1
これらの脆弱性を利用された場合、サイバー攻撃者によって遠隔からサーバにサービス運用妨害(DoS)状態を引き起こされる可能性がある。深刻度は「重要」(High)に分類されている。
BIND 9はインターネットにおける名前解決を担うソフトウェアとして広く利用されている。BIND 9の脆弱性は悪用された場合、影響範囲が広大になる危険性があるため、迅速にアップデートや回避策を適用してほしい。
関連記事
- IPAが「情報セキュリティ10大脅威 2023」を公開 新たにランクインした脅威は
IPAは情報セキュリティ10大脅威の2023年度版を公開した。どのような事案が2023年の情報セキュリティにおいて脅威となるかの推測が示されており、セキュリティ対策の資料として参考になる。 - Pythonベースの新種の遠隔操作ウイルス「PY#RATION」が驚異的に脅威な理由
SecuronixはPythonベースの遠隔操作ウイルス(RAT)による新たな攻撃キャンペーンおよびマルウェアを特定した。これらは「PY#RATION」と名付けられており、幾つかの特徴から脅威として要注意すべきだ。 - Microsoft、2023年1月の累積更新プログラムを配信 98件の脆弱性に対処
Microsoftは2023年1月の累積更新プログラムを配信した。合計で98の脆弱性に対処している。これらの中には既に悪用が確認されているものもあるため、迅速にアップデートを適用してほしい。 - BIND9に複数の脆弱性 確認とアップデートを
Internet Systems Consortium(ISC)からBINDの新たなバージョンがリリースされた。複数の脆弱(ぜいじゃく)性が修正されている。これら脆弱性はサービス運用妨害(DoS: Denial of Service)に利用される可能性がある。
関連リンク
- ISC BIND 9における複数の脆弱性について(2023年1月)
- CVE-2022-3094: An UPDATE message flood may cause named to exhaust all available memory
- CVE-2022-3488: BIND Supported Preview Edition named may terminate unexpectedly when processing ECS options in repeated responses to iterative queries
- CVE-2022-3736: named configured to answer from stale cache may terminate unexpectedly while processing RRSIG queries
- CVE-2022-3924: named configured to answer from stale cache may terminate unexpectedly at recursive-clients soft quota
Copyright © ITmedia, Inc. All Rights Reserved.