BIND Updates Patch Two High-Severity DoS Vulnerabilities
2023/09/22 SecurityWeek — DNS ソフトウェア BIND において、リモートから悪用可能な2件のサービス拒否 (DoS) 脆弱性に対処するセキュリティ・アップデートが、Internet Systems Consortium (ISC) からリリースされた。ISC によると、どちらのバグも named (権威ネームサーバ//再帰的リゾルバとして動作する BIND デーモン) に存在し、予想外の終了にいたる可能性があるという。
1つ目の脆弱性 CVE-2023-3341 (CVSS : 7.5) は、制御チャネルのメッセージ処理に影響を及ぼすスタック枯渇に起因すると説明されている。特定の関数が再帰的に呼び出されることで、メモリを使い果たす可能性があるという。
ISC のアドバイザリには、「環境によっては、パケット解析コードが利用可能なスタック。メモリを使い果たし、予期せずに named が終了する可能性がある」と記されている。
それぞれのメッセージは、内容が認証される前に完全に解析されるため、コントロール・チャネルが設定された TCP ポートにアクセスできるリモートの攻撃者であれば、有効な RNDC キーを必要とせずに、この脆弱性を悪用できる。
ISC は、「この攻撃は、各プロセス/スレッドで用いられるスタック・サイズが、不十分な環境でのみ成立する。正確な閾値は複数の要因に依存するため、普遍的に指定することは不可能だ」と述べている。
この問題は、BIND バージョン 9.2.0 〜 9.16.43/9.18.x/9.19.x に影響を及ぼすものであり、バージョン 9.16.44/9.18.19/9.19.17 で解決されている。BIND Supported Preview Edition バージョン 9.9.3-S1〜9.16.43-S1 および 9.18.0-S1〜9.18.18-S1 でも影響が生じるため、バージョン 9.16.44-S1/9.18.19-S1 でパッチが提供される。
2つ目の脆弱性 CVE-2023-4236 (CVSS : 7.5) は、DNS-over-TLS クエリーを処理するネットワーキング・コードにおけるアサーションの失敗と説明されている。
ISC のアドバイザリには、「DNS-over-TLS クエリの負荷が大きい状態で、内部データ構造が不正に再利用されると、namedが予期せずクラッシュする可能性がある。BIND の DNS-over-HTTPS コードは、別の TLS 実装を使用しているため、影響を受けない」と記されている。
この欠陥は、BIND バージョン 9.18.0〜9.18.18 に対して、また、BIND Supported Preview Edition バージョン 9.18.11-S1〜9.18.18-S1 に影響を与える。BIND バージョン 9.18.19 および、BIND Supported Preview Edition バージョン 9.18.19-S1 のリリースで対処されている。
ISC によると、これらの脆弱性が、攻撃で悪用されたことはないという。
BIND の脆弱性に関する記事ですが、前回のものは 2023/06/26 の「ISC BIND の3つの DoS 脆弱性 CVE-2023-2828 などが FIX」であり、その前は 2023/01/27 の「ISC BIND の4つの深刻な DoS 脆弱性 CVE-2022-3094 などが FIX」という状況でした。よろしければ、BIND で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.