米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は3月17日、「ISC Releases Security Advisories for BIND」において、DNSサーバ・ソフトウェアの「BIND」に複数の脆弱性が報告され、開発元のInternet Systems Consortium(ISC)がセキュリティアドバイザリをリリースしたと伝えた。
これらの脆弱性が悪用されると、リモートからnamedプロセスが強制終了させられたり、誤った情報がクライアントに返されたりするなどの被害を受ける危険性がある。
報告されている脆弱性は次の4件。
- CVE-2021-25220: DNS forwarders - cache poisoning vulnerability
- CVE-2022-0396: DoS from specifically crafted TCP packets - Security Advisories
- CVE-2022-0635: DNAME insist with synth-from-dnssec enabled - Security Advisories
- CVE-2022-0667: Assertion failure on delayed DS lookup - Security Advisories
これらのうち、CVE-2022-0635とCVE-2022-0667はCVSS v3のベーススコアが7.0で深刻度「high(高)」に分類されている。CVE-2022-0635は、namedが特定のパターンのクエリを受信した場合に、アサーションチェックに失敗してプロセスが強制終了するというもの。CVE-2022-0667は、DSlookupにおいて転送の必要があるDSレコード要求処理時にタイムアウトが発生すると、アサーションエラーが発生してBINDプロセスが強制終了するというもの。いずれも、BIND 9.18.0が影響を受ける。
CVE-2021-25220とCVE-2022-0396のCVSS v3ベーススコアはそれぞれ6.2と4.9で、深刻度は「Medium(中程度)」に分類されている。影響を受けるバージョンとその内容は上記のアドバイザリを参照のこと。
いずれの脆弱性に対しても修正バージョンがリリースされており、アップデートすることで影響を回避できる。CISAは、上記のセキュリティアドバイザリをチェックした上で、必要なアップデートまたは回避策を適用することを推奨している。