JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月21日、「JVNVU#94469233: ISC BINDにおける複数の脆弱性」において、ISC(Internet Systems Consortium)が提供するISC BINDに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、namedが予期せずに終了させられる可能性があるとされており注意が必要。
-
JVNVU#94469233: ISC BINDにおける複数の脆弱性
脆弱性に関する情報は次のページにまとまっている。
- CVE-2023-3341: A stack exhaustion flaw in control channel code may cause named to terminate unexpectedly
- CVE-2023-4236: named may terminate unexpectedly under high DNS-over-TLS query load
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり(BIND 9.11.37より前のバージョンおよびBIND 9.11.37-S1(BIND Supported Preview Edition)より前のバージョンは影響の評価をしていないとされる)。
- BIND 9.2.0から9.16.43
- BIND 9.18.0から9.18.18
- BIND 9.19.0から9.19.16
- BIND 9.9.3-S1から9.16.43-S1(BIND Supported Preview Edition)
- BIND 9.18.0-S1から9.18.18-S1(BIND Supported Preview Edition)
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- BIND 9.16.44
- BIND 9.18.19
- BIND 9.19.17
- BIND 9.16.44-S1(BIND Supported Preview Edition)
- BIND 9.18.19-S1(BIND Supported Preview Edition)
北朝鮮の脅威アクターがサイバー攻撃、国内も要注意とNTT子会社が警告
