米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は9月22日(米国時間)、「ISC Releases Security Advisories for Multiple Versions of BIND 9|CISA」において、DNSサーバ「BIND」に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってサービス運用妨害(DoS: Denial of Service)状態を引き起こされる危険性があるとされている。
脆弱性に関する情報は次のページにまとまっている。
-
BIND 9 Security Vulnerability Matrix
CISAは次の脆弱性について確認を行うとともに、必要な緩和措置を適用することを推奨している。
- CVE-2022-2906 Memory Leak in DH Code
- CVE-2022-3080: BIND 9 resolvers configured to answer from stale cache
- CVE-2022-38177: Memory leak in ECDSA DNSSEC verification code
- CVE-2022-38178: Memory leaks in EdDSA DNSSEC verification code
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- BIND 9.16.33
- BIND 9.18.7
- BIND 9.19.5
- BIND 9.16.33-S1 (サポートテッドプレビューエディション)
一部の脆弱性は深刻度が重要(High)に分類されており注意が必要。CISAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。
4月更新プログラムでWindows 11にログインできなくなる恐れ - Microsoft発表
