サイト内の現在位置

ISC BINDにサービス運用妨害(DoS)の脆弱性

掲載番号:NV22-007
脆弱性情報識別番号:JVNVU91101819

概要

ISC BINDには、lame cacheの設計の問題によって内部データ構造がほぼ無限に大きくなり、BINDリゾルバのパフォーマンスが低下することでクライアントクエリへの応答に大幅な遅延が発生する、サービス運用妨害(DoS)の脆弱性(CWE-400、CVE-2021-25219)が存在します。

遠隔の第三者によって送信された細工されたクエリを処理させられることで、namedリゾルバのCPU時間の大半をlame cacheの管理とチェックに消費され、クライアントクエリへの応答が大幅に遅延し、クライアント側でDNSタイムアウトが発生する可能性があります。

対象製品

ESMPRO/ServerAgentService

対象となる製品のバージョン

RHEL6を使用している全てのバージョン

対処方法

RHEL6は標準サポート(メンテナンスサポート2)のフェーズを2020年11月30日で終了しており、サポート外(Out of support scope)とされているため、修正パッケージは提供されない見込みです。
以下のページを参考に回避策を実施してください。
https://www.support.nec.co.jp/View.aspx?id=3150115922

参考情報

JVNVU#91101819
https://jvn.jp/vu/JVNVU91101819/index.html

CVE-2021-25219: Lame cache can be abused to severely degrade resolver performance
https://kb.isc.org/docs/cve-2021-25219

BIND 9.xの脆弱性(パフォーマンスの低下)について(CVE-2021-25219)
https://jprs.jp/tech/security/2021-10-28-bind9-vuln-lamecache.html

更新情報

2022/08/05
ESMPRO/ServerAgentService を登録しました。