CARVIEW |
Select Language
HTTP/1.1 200 OK
Date: Mon, 14 Jul 2025 04:45:54 GMT
Content-Length: 6649
Content-Type: text/html
Strict-Transport-Security: max-age=2592000
(緊急)BIND 9.xの脆弱性(メモリ不足の発生)について(CVE-2022-3094)
株式会社日本レジストリサービス Copyright©2001-2025 Japan Registry Services Co., Ltd.
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(メモリ不足の発生)について(CVE-2022-3094) - バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2023/01/26(Thu) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からの攻撃が 可能となる脆弱性が、開発元のISCから発表されました。本脆弱性により namedを含む当該サーバーで動作しているプログラム/システムがメモリ不 足に陥り、異常動作や停止が発生する可能性があります。 該当するBIND 9のパッケージを利用しているユーザーは、各ディストリビュー ションベンダーからリリースされる情報の収集やバージョンアップなど、適 切な対応を速やかに取ることを強く推奨します。 本脆弱性はnamedにおいて、Dynamic Updateを許可している場合のみ対象と なります(デフォルトでは拒否)。 ▼詳細 ▽本脆弱性の概要 Dynamic UpdateはRFC 2136で定義される、クライアントの依頼により権威 DNSサーバーが管理するゾーン情報を動的に更新するための機能です。BIND ではDynamic Updateによる動的更新の受け付けは、デフォルトでは無効(拒 否)に設定されています。 9.16.x以降のBINDはnamedに膨大な数のDynamic Updateが送り付けられた場 合、その処理において大容量のメモリを割り当てます。これを利用し、外部 の攻撃者がnamedプロセスのメモリ消費量を増大させ、namedを含む当該サー バーで動作しているプログラム/システムをメモリ不足に陥らせることで、 異常動作や停止が誘発される可能性があります。 また、namedプロセスのメモリ使用量がオペレーティングシステムによって 制限されていない場合、システムで使用可能なすべてのメモリが枯渇し、シ ステム全体に悪影響が及ぶ可能性があります。 なお、動的更新を許可していないクライアントからDynamic Updateを受信し た場合、namedはDynamic Updateを拒否した時点で、割り当てたメモリを速 やかに解放します。そのため、本脆弱性の範囲は、namedがDynamic Update を許可している場合に限定されます。 ▽対象となるバージョン 本脆弱性は、以下のバージョンのBIND 9が該当します。 ・9.18系列:9.18.0-9.18.10 ・9.16系列:9.16.0-9.16.36 なお、ISCではサポートを終了した系列のセキュリティパッチはリリースし ないと発表しています。 ▽影響範囲 ISCは、本脆弱性の深刻度(Severity)を「高(High)」と評価しています。 本脆弱性はnamedにおいて、Dynamic Updateを許可している場合にのみ対象 となります。 本脆弱性については、以下の脆弱性情報[*1]も併せてご参照ください。 [*1] CVE Record | CVE <https://www.cve.org/CVERecord?id=CVE-2022-3094> ▼一時的な回避策 本脆弱性の一時的な回避策は存在しません。 ▼解決策 本脆弱性を修正したパッチバージョン(BIND 9.18.11/9.16.37)への更新、 あるいは、各ディストリビューションベンダーからリリースされる更新の適 用を、速やかに実施してください。 ▼参考リンク 以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、 適切な対応を取ることを強く推奨します。 - ISC セキュリティアドバイザリ CVE-2022-3094: An UPDATE message flood may cause named to exhaust all available memory <https://kb.isc.org/docs/cve-2022-3094> パッチバージョンの入手先 BIND 9.18.11 <https://ftp.isc.org/isc/bind9/9.18.11/bind-9.18.11.tar.xz> BIND 9.16.37 <https://ftp.isc.org/isc/bind9/9.16.37/bind-9.16.37.tar.xz> ▼連絡先 本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ さい。 --------------------------------------------------------------------- ▼更新履歴 2023/01/26 10:00 初版作成
株式会社日本レジストリサービス Copyright©2001-2025 Japan Registry Services Co., Ltd.