「BIND 9」に複数脆弱性 - 影響範囲広く緊急対応を
Internet Systems Consortium(ISC)は、現地時間2月13日にDNSサーバ「BIND 9」のセキュリティアップデートをリリースした。一部脆弱性は影響範囲が広く、クエリ、応答のいずれにおいても悪用が可能であるとして関連機関から緊急で対策を講じるよう注意喚起が行われている。
脆弱性によって影響を受ける利用環境やバージョンは異なるが、あわせて7件の脆弱性が明らかとなった。
重要度が「クリティカル(Critical)」とされる脆弱性は含まれていないが、「CVE-2023-4408」「CVE-2023-5517」「CVE-2023-5679」「CVE-2023-6516」「CVE-2023-50387」「CVE-2023-50868」の6件については、上から2番目にあたる「高(High)」とレーティングされている。
DNSメッセージの解析に不備があり、細工したクエリや応答によって高負荷が生じる「CVE-2023-4408」については、権威DNSサーバ、キャッシュDNSサーバの双方が影響を受ける。
また細工された再帰クエリにより、キャッシュのクリーンアップにおいてメモリが枯渇する「CVE-2023-6516」のほか、「CVE-2023-50387」「CVE-2023-50868」などはDNSSECの処理において外部より攻撃を受けるおそれがある。
(Security NEXT - 2024/02/15 )
ツイート
関連リンク
PR
関連記事
複数団体宛てのメールに個人メアドを誤掲載 - 埼玉県
ノベルティ送付時に異なる宛名、宛先データに不備 - 東京都
小学校で児童の個人情報含む指導計画を紛失 - 柏市
ランサム被害で株主や従業員情報が流出した可能性 - テイン
SMTPサーバで設定不備、約17万件のスパム送信 - 奈良女大
保険料の架空請求メール出回る - 電子決済アプリ誘導に警戒を
一部利用者で不正ログイン、注意を喚起 - 時事通信フォト
ファイルサーバ「goshs」に認証回避など複数脆弱性 - 修正版を公開
「Apache ActiveMQ」にRCE脆弱性 - 悪用が確認され「KEV」にも登録
「第一生命」かたるフィッシングメールに注意 - 「5000円相当プレゼント」と誘導
