BIND 9における複数の脆弱性について(2024年2月)

2024年2月14日(現地時間)、BIND 9に存在する複数の脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

ISCは、6件の脆弱性の深刻度を中-高(Medium-High)と評価しています。

アナウンスの原文へのリンクを以下に掲載します。管理者の皆様におかれましては、ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

CVE-2023-4408 Parsing large DNS messages may cause excessive CPU load: https://kb.isc.org/docs/cve-2023-4408
CVE-2023-5517 Querying RFC 1918 reverse zones may cause an assertion failure when nxdomain-redirect is enabled: https://kb.isc.org/docs/cve-2023-5517
CVE-2023-5679 Enabling both DNS64 and serve-stale may cause an assertion failure during recursive resolution: https://kb.isc.org/docs/cve-2023-5679
CVE-2023-5680 Cleaning an ECS-enabled cache may cause excessive CPU load(サポートバージョン): https://kb.isc.org/docs/cve-2023-5680
CVE-2023-6516 Specific recursive query patterns may lead to an out-of-memory condition: https://kb.isc.org/docs/cve-2023-6516
CVE-2023-50387 KeyTrap - Extreme CPU consumption in DNSSEC validator: https://kb.isc.org/docs/cve-2023-50387
CVE-2023-50868 Preparing an NSEC3 closest encloser proof can exhaust CPU resources: https://kb.isc.org/docs/cve-2023-50868

修正されたバージョンとダウンロードページ

9.0.0 - 9.16.46
9.18.0 - 9.18.22
9.19.0 - 9.19.20
(9.11.37以前は検証されていません)

https://www.isc.org/download/

参考情報

JPRS

（緊急）BIND 9.xの脆弱性（過剰なCPU負荷の誘発）について（CVE-2023-4408） - フルリゾルバー（キャッシュDNSサーバー）／権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -: https://jprs.jp/tech/security/2024-02-14-bind9-vuln-dnsmessage.html
（緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2023-5517） - nxdomain-redirect機能を有効にしている場合のみ対象、バージョンアップを強く推奨 -: https://jprs.jp/tech/security/2024-02-14-bind9-vuln-nxdomain-redirect.html
（緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2023-5679） - serve-staleとDNS64を共に有効にしている場合のみ対象、バージョンアップを強く推奨 -: https://jprs.jp/tech/security/2024-02-14-bind9-vuln-serve-stale.html
（緊急）BIND 9.xの脆弱性（メモリ不足の発生）について（CVE-2023-6516） - バージョンアップを強く推奨 -: https://jprs.jp/tech/security/2024-02-14-bind9-vuln-cache-cleaning.html
（緊急）BIND 9.xの脆弱性（過剰なCPU負荷の誘発）について（CVE-2023-50387） - バージョンアップを強く推奨 -: https://jprs.jp/tech/security/2024-02-14-bind9-vuln-keytrap.html
（緊急）BIND 9.xの脆弱性（過剰なCPU負荷の誘発）について（CVE-2023-50868） - バージョンアップを強く推奨 -: https://jprs.jp/tech/security/2024-02-14-bind9-vuln-nsec3.html