JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月22日、「JVNVU#99441653: ISC BINDにおける複数の脆弱性」において、ISC BINDに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、ネームサーバのサービス運用妨害(DoS: Denial of Service)を引き起こされたり、ネームサーバが終了させられたりするリスクがあるとされている。
脆弱性に関する情報は次のページにまとまっている。
- CVE-2023-2828: named's configured cache size limit can be significantly exceeded
- CVE-2023-2829: Malformed NSEC records can cause named to terminate unexpectedly when synth-from-dnssec is enabled
- CVE-2023-2911: Exceeding the recursive-clients quota may cause named to terminate unexpectedly when stale-answer-client-timeout is set to 0
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- BIND 9.11.0から9.16.41
- BIND 9.18.0から9.18.15
- BIND 9.19.0から9.19.13
- BIND 9.11.3-S1から9.16.41-S1(BIND Supported Preview Edition)
- BIND 9.18.11-S1から9.18.15-S1(BIND Supported Preview Edition)
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- BIND 9.16.42
- BIND 9.18.16
- BIND 9.19.14
- BIND 9.16.42-S1(BIND Supported Preview Edition)
- BIND 9.18.16-S1(BIND Supported Preview Edition)
問題を一時的に回避する方法として、synth-from-dnssecをnoに設定すること、および、stale-answer-client-timeoutをoffまたは0以外の値に設定することが挙げられている。