DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2023-3341)
  - バージョンアップを強く推奨 -

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2023/09/21(Thu)
---------------------------------------------------------------------
▼概要

  BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービス
  不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。
  本脆弱性により、提供者が意図しないDNSサービスの停止が発生する可能性が
  あります。

  該当するBIND 9のパッケージを利用しているユーザーは、各ディストリビュー
  ションベンダーからリリースされる情報の収集やバージョンアップなど、適
  切な対応を速やかに取ることを強く推奨します。

▼詳細

▽本脆弱性の概要

  BIND 9.xのnamedには遠隔制御のための制御チャンネル(control channel)
  が存在し、制御チャンネル経由で設定ファイルやゾーンファイルの再読み込
  み、統計情報の出力などを実行する、rndcユーティリティが標準提供されて
  います。

  BIND 9.xには制御チャンネルの入力処理に不具合があり、特別に細工された
  メッセージを受け取った場合にパケット解析コードが利用可能なスタックメ
  モリを使い果たし、namedが異常終了する可能性があります。

  そのため、外部の攻撃者がこの状況を発生させることができた場合、当該サー
  バーのDNSサービスを停止させることが可能になります。

▽対象となるバージョン

  本脆弱性は、BIND 9.2.0以降のすべてのバージョンのBIND 9が該当します。

  ・9.18系列:9.18.0~9.18.18
  ・上記以外の系列:9.2.0~9.16.43

  なお、ISCでは9.14以前の系列のBIND 9のサポートを終了しており、これら
  のバージョンに対するセキュリティパッチはリリースしないと発表していま
  す。

▽影響範囲

  ISCは、本脆弱性の深刻度(Severity)を「高(High)」と評価しています。

  不正アクセスを防ぐため、namedの制御チャンネルへのアクセスでは通常、
  共有鍵(rndc-key)による認証が設定されます。しかし、本脆弱性は共有鍵
  による認証の前段階で発生するため、当該認証は本脆弱性の対策とはなりま
  せん。

  ただし、BIND 9に標準のrndc-confgenコマンドは制御チャンネルのデフォル
  トのIPアドレスとして、ループバックアドレスを設定します[*1]。この場合、
  本脆弱性によるリモートからの攻撃は成立しません。

  [*1] namedの設定ファイル(named.conf)においてcontrolsステートメント
       が設定されていない場合も同様であり、制御チャンネルのIPアドレス
       として、127.0.0.1及び::1が設定されます。

  本脆弱性については、以下の脆弱性情報[*2]も併せてご参照ください。

  [*2] CVE Record | CVE
       <https://www.cve.org/CVERecord?id=CVE-2023-3341>

▼一時的な回避策

  namedの制御チャンネルへのアクセスを信頼されるシステムのみに制限する
  ことで、本脆弱性の影響を回避できます[*3]。

  [*3] 前述の通り、BIND 9標準のrndc-confgenコマンドは制御チャンネルの
       デフォルトのIPアドレスとして、ループバックアドレスを設定します。
       この場合、リモートからの攻撃は成立しません。

▼解決策

  本脆弱性を修正したパッチバージョン(BIND 9.18.19/9.16.44)への更新、
  あるいは各ディストリビューションベンダーからリリースされる更新の適用
  を、速やかに実施してください。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、
  適切な対応を取ることを強く推奨します。

  - ISC

   セキュリティアドバイザリ

    CVE-2023-3341: A stack exhaustion flaw in control channel code may
                   cause named to terminate unexpectedly
    <https://kb.isc.org/docs/cve-2023-3341>

   パッチバージョンの入手先

    BIND 9.18.19
    <https://ftp.isc.org/isc/bind9/9.18.19/bind-9.18.19.tar.xz>
    BIND 9.16.44
    <https://ftp.isc.org/isc/bind9/9.16.44/bind-9.16.44.tar.xz>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ
  さい。

---------------------------------------------------------------------
▼更新履歴
  2023/09/21 11:00 初版作成
株式会社日本レジストリサービス Copyright©2001-2024 Japan Registry Services Co., Ltd.