2022年9月21日(現地時間)にISCからISC BIND 9の複数の脆弱性についての情報が公開されました。脆弱性が悪用されると、リモートからの攻撃によってnamedが異常終了するなどの可能性があります。
ISCは、2件の脆弱性(CVE-2022-2795、CVE-2022-2881)の深刻度を中(Medium)、4件の脆弱性(CVE-2022-2906、CVE-2022-3080、CVE-2022-38177、CVE-2022-38178)の深刻度を高(High)と評価しています。
対象となるBINDを使用するユーザーは、ISCや各ディストリビューターの情報に注意し、バージョンアップや回避策の適用などの対応を進めることを検討してください。なお、一部の脆弱性は、すでにサポートが終了したBINDでも影響を受けますが、修正バージョンはサポート対象のBINDでのみ提供されます。詳細は、ISCなどが提供する情報を参照してください。
[CVE-2022-2795の影響を受けるバージョン]
- BIND 9.0.0からBIND 9.16.32まで
- BIND 9.18.0からBIND 9.18.6まで
- BIND 9.19.0からBIND 9.19.4まで
- BIND Supported Preview Edition 9.9.3-S1からBIND 9.11.37-S1まで
- BIND Supported Preview Edition 9.16.8-S1からBIND 9.16.32-S1まで
Internet Systems Consortium, Inc. (ISC)
CVE-2022-2795: Processing large delegations may severely degrade resolver performance
https://kb.isc.org/docs/cve-2022-2795
[CVE-2022-2881の影響を受けるバージョン]
- BIND 9.18.0からBIND 9.18.6まで
- BIND 9.19.0からBIND 9.19.4まで
Internet Systems Consortium, Inc. (ISC)
CVE-2022-2881: Buffer overread in statistics channel code
https://kb.isc.org/docs/cve-2022-2881
[CVE-2022-2906の影響を受けるバージョン]
- BIND 9.18.0からBIND 9.18.6まで
- BIND 9.19.0からBIND 9.19.4まで
※メモリリークは、権威DNSサーバーのTKEYレコード処理に対してのみ影響します
※GSS-TSIGモードでのTKEYレコード処理、およびクライアント側の処理(リゾルバ機能)では影響しません
Internet Systems Consortium, Inc. (ISC)
CVE-2022-2906: Memory leaks in code handling Diffie-Hellman key exchange via TKEY RRs (OpenSSL 3.0.0+ only)
https://kb.isc.org/docs/cve-2022-2906
[CVE-2022-3080の影響を受けるバージョン]
- BIND 9.16.14からBIND 9.16.32まで
- BIND 9.18.0からBIND 9.18.6まで
- BIND 9.19.0からBIND 9.19.4まで
- BIND Supported Preview Edition 9.16.14-S1からBIND 9.16.32-S1まで
※BIND Supported Preview Edition 9.11系は影響を受けません
Internet Systems Consortium, Inc. (ISC)
CVE-2022-3080: BIND 9 resolvers configured to answer from stale cache with zero stale-answer-client-timeout may terminate unexpectedly
https://kb.isc.org/docs/cve-2022-3080
[CVE-2022-38177の影響を受けるバージョン]
- BIND 9.8.4からBIND 9.16.32まで
- BIND Supported Preview Edition 9.9.4-S1からBIND 9.11.37-S1まで
- BIND Supported Preview Edition 9.16.8-S1からBIND 9.16.32-S1まで
Internet Systems Consortium, Inc. (ISC)
CVE-2022-38177: Memory leak in ECDSA DNSSEC verification code
https://kb.isc.org/docs/cve-2022-38177
[CVE-2022-38178の影響を受けるバージョン]
- BIND 9.9.12からBIND 9.9.13まで
- BIND 9.10.7からBIND 9.10.8まで
- BIND 9.11.3からBIND 9.16.32まで
- BIND 9.18.0からBIND 9.18.6まで
- BIND 9.19.0からBIND 9.19.4まで
- BIND Supported Preview Edition 9.11.4-S1からBIND 9.11.37-S1まで
- BIND Supported Preview Edition 9.16.8-S1からBIND 9.16.32-S1まで
Internet Systems Consortium, Inc. (ISC)
CVE-2022-38178: Memory leaks in EdDSA DNSSEC verification code
https://kb.isc.org/docs/cve-2022-38178
参考情報
日本レジストリサービス(JPRS)
BIND 9.xの脆弱性(パフォーマンスの低下)について(CVE-2022-2795)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-09-22-bind9-vuln-large-delegations.html
日本レジストリサービス(JPRS)
BIND 9.18.xの脆弱性(不適切なメモリの読み取りまたはDNSサービスの停止)について(CVE-2022-2881)
- BIND 9.18系列のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-09-22-bind9-vuln-bufferoverread.html
日本レジストリサービス(JPRS)
(緊急)BIND 9.18.xの脆弱性(メモリリークの発生)について(CVE-2022-2906)
- BIND 9.18系列のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-09-22-bind9-vuln-tkey.html
日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2022-3080)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-09-22-bind9-vuln-serve-stale.html
日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(メモリリークの発生)について(CVE-2022-38177)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-09-22-bind9-vuln-ecdsa.html
日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(メモリリークの発生)について(CVE-2022-38178)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2022-09-22-bind9-vuln-eddsa.html
Internet Systems Consortium, Inc. (ISC)
BIND 9 End-of-Life Dates
https://kb.isc.org/docs/bind-9-end-of-life-dates
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp