「BIND 9」に複数の脆弱性 - 異常終了のおそれ

Internet Systems Consortium（ISC）が提供するDNSサーバ「BIND 9」に複数の脆弱性が明らかとなり、現地時間6月21日にアップデートがリリースされた。関連機関からも注意喚起が行われている。

同ソフトウェアに2件の脆弱性「CVE-2023-2828」「CVE-2023-2911」が明らかとなったもの。「CVE-2023-2828」は、キャッシュDNSサーバにおいて、リモートから細工したリクエストを送りつけることでメモリを枯渇させることが可能となる脆弱性。サービス拒否に陥るおそれがある。

また「CVE-2023-2911」では、特定の条件下でルックアップ処理のループが生じ、スタックオーバーフローによって予期せず終了するおそれがある。

いずれも共通脆弱性評価システム「CVSSv3.1」においてベーススコアは「7.5」と評価されており、重要度は2番目に高い「高（High）」とレーティングされている。脆弱性の悪用は確認されていないという。

ISCでは脆弱性を修正した「BIND 9.18.16」「同9.16.42」をリリースした。「CVE-2023-2911」については回避策もアナウンスしている。

脆弱性が公表され、アップデートがリリースされたことを受け、日本レジストリサービス（JPRS）では緊急の注意喚起を実施。バージョンアップの実施を強く推奨している。

（Security NEXT - 2023/06/22 ） ツイート

PR

関連記事

前回更新から2日で「Chrome」がアップデート - ゼロデイ脆弱性を緊急修正
1月はフィッシング報告数が6.2％増 - URL件数は減少
ランサム被害で第三者操作の形跡、個人情報流出か - 不動産管理会社
関係者向け事務連絡メールで誤送信 - 日本医療研究開発機構
研究室サーバに不正アクセス、学外サーバ侵害からの連鎖で - 東大
過去に実施したイベントサイトのドメインを第三者が取得 - 愛媛県
ワークフローツール「n8n」の脆弱性悪用に注意喚起 - 米CISA
会議ツール「Zoom」Windows向けクライアントに深刻な脆弱性
米当局、「Cisco SD-WAN」攻撃対応の緊急指令を更新
「Chrome 146」が公開 - 「クリティカル」含む29件の脆弱性を修正