「BIND 9」に2件の脆弱性、namedに対するDoS攻撃が可能

　DNSソフト「BIND 9」に2件の脆弱性があることが、開発元のInternet Systems Consortium（ISC）から9月20日に発表されたことを受け、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）や株式会社日本レジストリサービス（JPRS）が注意喚起を出した。

　深刻度は「高（High）」とレーティングされており、悪用されるとリモート攻撃によってnamedが異常終了する可能性があるという。BIND 9を利用しているユーザーに対して、ISCや各ディストリビューターから提供される情報を収集し、脆弱性を修正したパッチバージョンや回避策の適用をするなど、適切な対応を取るよう強く推奨している。

　JPRSによると、1つ目の脆弱性（CVE-2023-3341）は、BIND 9のnamedにある制御チャンネルの入力処理に不具合があり、特別に細工されたメッセージを受け取った場合にパケット解析コードが利用可能なスタックメモリを使い果たし、namedが異常終了する可能性があるというもの。外部の攻撃者がこの状況を発生させることができた場合、当該サーバーのDNSサービスを停止させることが可能になるとしている。BIND 9.2.0以降の全てのバージョンが該当する。

• BIND 9.2.0～9.16.43
• BIND 9.18.0～9.18.18
• BIND 9.19.0～9.19.16
• BIND Supported Preview Edition 9.9.3-S1～9.16.43-S1
• BIND Supported Preview Edition 9.18.0-S1～9.18.18-S1

　パッチバージョンは以下の通り。

• BIND 9.16.44
• BIND 9.18.19
• BIND 9.19.17
• BIND Supported Preview Edition 9.16.44-S1
• BIND Supported Preview Edition 9.18.19-S1

　もう1つの脆弱性（CVE-2023-4236）は、BIND 9.18系列においてDNS over TLSの実装に不具合があり、DNS over TLSのクエリの負荷が高い状況においてnamedが異常終了する可能性があるというもの。DNS over TLSでの接続を有効にしている場合のみ対象となる（DNS over HTTPSはこの脆弱性の対象外）。外部の攻撃者がこの状況を発生させることができた場合、当該サーバーのDNSサービスを停止させることが可能になるとしている。該当するバージョンはBIND 9.18系列。

• BIND 9.18.0～9.18.18
• BIND Supported Preview Edition 9.18.11-S1～9.18.18-S1

　パッチバージョンは以下の通り。

• BIND 9.18.19
• BIND Supported Preview Edition 9.18.19-S1