ISC Patches Two Vulnerabilities – CVE-2024-11187 and CVE-2024-12705
2025/01/30 SecurityOnline — 先日に ISC (Internet Systems Consortium) が公開したのは、広く使用されている DNS ソフトウェア BIND に影響を及ぼす、2件の深刻な脆弱性の情報である。それらの脆弱性 CVE-2024-11187/CVE-2024-12705 の悪用に成功した攻撃者は、権威サーバー/リゾルバー対して、サービス拒否 (DoS) 攻撃を仕掛けることが可能になる。
CVE-2024-11187:悪意のゾーンによるリソース枯渇
この脆弱性を悪用する攻撃者が、悪意の DNS ゾーンを作成してクエリを実行すると、多数のレコードを取り込んだレスポンスが、”Additional” セクションに生成される。このようなクエリでサーバを溢れさせる攻撃者は、CPU の過度な消費を引き起こし、最終的にはリソース枯渇とサービス中断の可能性を得るという。
ISC のアドバイザリには、「この問題の影響を受ける名前付きインスタンスは、CPU リソースを過剰に消費するよう強制され、リソースが枯渇すると、他のクライアントのクエリに対して、サーバからのレスポンスが不能になる可能性がある」と記されている。
CVE-2024-12705: DNS-over-HTTPS DoS 脆弱性
この脆弱性は、BIND の DNS-over-HTTPS (DoH) 実装に影響を及ぼすものだ。特別に細工された HTTP/2 トラフィックで DoH リゾルバーを溢れさせ、サーバの圧倒に成功した攻撃者は、正当なクライアントからのサービスへのアクセスを妨害できる。
ISC のアドバイザリには、「ターゲット・リゾルバーを HTTP/2 トラフィックでフラッディングすることで、この欠陥を悪用する攻撃者はサーバーを圧倒し、CPU やメモリの使用率を高め、他のクライアントによる DoH 接続の確立を妨害できる」と記されている。
修正と緩和策
すでに ISC は、BIND のパッチ・バージョンをリリースし、これらの脆弱性に対処している。ユーザーに対して強く推奨されるのは、可能な限り早急に、最新バージョン 9.18.33/9.20.5/9.21.4 へとアップグレードすることだ。
なお、パッチを適用するまでの一時的な回避策として、脆弱性 CVE-2024-11187 の場合には、BIND コンフィグでの “minimal-responses” オプションの有効化がある。 また、CVE-2024-12705 の場合には、DoH の無効化が効果的である。
ISC BIND の脆弱性が修正されたとのことです。ご利用の方は、アップデートをお急ぎください。前回の BIND に関する脆弱性は、2023/06/26 の「ISC BIND の3つの DoS 脆弱性 CVE-2023-2828 などが FIX」でお伝えしているものです。よろしければ、ISC BIND で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.