NVD脆弱性詳細

CVE-2019-6477

概要	With pipelining enabled each incoming query on a TCP connection requires a similar resource allocation to a query received via UDP or via TCP without pipelining enabled. A client using a TCP-pipelined connection to a server could consume more resources than the server has been provisioned to handle. When a TCP connection with a large number of pipelined queries is closed, the load on the server releasing these multiple resources can cause it to become unresponsive, even for queries that can be answered authoritatively or from cache. (This is most likely to be perceived as an intermittent server problem).
公表日	2019年11月27日1:15
登録日	2021年1月26日11:43
最終更新日	2024年11月21日13:46

CVSS3.1 : HIGH
スコア	7.5
ベクター	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	高

CVSS2.0 : MEDIUM
スコア	5.0
ベクター	AV:N/AC:L/Au:N/C:N/I:N/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	低
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:isc:bind:9.12.4:p1::::::
cpe:2.3:a:isc:bind::::::::	9.15.0	9.15.5
cpe:2.3:a:isc:bind:9.11.6:p1::::::
cpe:2.3:a:isc:bind:9.11.6:rc1::::::
cpe:2.3:a:isc:bind::::::::	9.11.7	9.11.12
cpe:2.3:a:isc:bind:9.12.4:p2::::::
cpe:2.3:a:isc:bind::::::::	9.14.1	9.14.7
cpe:2.3:a:isc:bind:9.11.5:s6:::supported_preview:::*
cpe:2.3:a:isc:bind:9.11.12:s1:::supported_preview:::*

構成2	以上	以下	より上	未満
cpe:2.3:o:fedoraproject:fedora:30:::::::*
cpe:2.3:o:fedoraproject:fedora:31:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00041.html
2	http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00044.html
3	https://kb.isc.org/docs/cve-2019-6477	Third Party Advisory
4	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/L3DEMNZMKR57VQJCG5ZN55ZGTQRL2TFQ/
5	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XGURMGQHX45KR4QDRCSUQHODUFOGNGAN/
6	https://support.f5.com/csp/article/K15840535?utm_source=f5support&amp%3Butm_medium=RSS
7	https://www.debian.org/security/2020/dsa-4689
8	https://www.synology.com/security/advisory/Synology_SA_19_39	Third Party Advisory
9	http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00041.html
10	https://www.synology.com/security/advisory/Synology_SA_19_39	Third Party Advisory
11	https://www.debian.org/security/2020/dsa-4689
12	https://support.f5.com/csp/article/K15840535?utm_source=f5support&amp%3Butm_medium=RSS
13	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XGURMGQHX45KR4QDRCSUQHODUFOGNGAN/
14	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/L3DEMNZMKR57VQJCG5ZN55ZGTQRL2TFQ/
15	https://kb.isc.org/docs/cve-2019-6477	Third Party Advisory
16	http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00044.html

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-400	リソースの枯渇	https://cwe.mitre.org/data/definitions/400.html

JVN脆弱性情報

ISC BIND にサービス運用妨害 (DoS) の脆弱性

タイトル	ISC BIND にサービス運用妨害 (DoS) の脆弱性
概要	ISC (Internet Systems Consortium) が提供する BIND には、TCP クライアントの同時接続数の制限を迂回され、システムリソースが過度に消費されてしまう脆弱性が存在します。 BIND には、named に対して同時に接続可能な TCP クライアントの数を制限する機能があります。2019年 4月に公開された CVE-2018-5743 への対応として、TCP クライアントからの同時接続数を計算する方法が変更されました。一方で BIND では、一つの TCP 接続で多数の DNS クエリを並列に処理することができる機能が TCP-pipelining として提供されており、デフォルトで有効に設定されています。 TCP-pipelining が有効な状態においては、一つの TCP クライアントから複数の DNS クエリが発行されると、UDP 接続時や TCP-pipelining が無効な状態における TCP 接続時と同様のシステムリソースが、受け取ったクエリ毎に消費されます。多数のクエリを含む TCP 接続がクローズされた場合、それぞれのクエリに割り当てられたリソースの開放処理が同時に発生し、サーバが一時的あるいは断続的に応答不能な状態に陥る可能性があります。
想定される影響	リモートの攻撃者が上記のような状況を発生させることにより、システムリソースが過度に消費され、サービスが一時的あるいは断続的に停止させられる可能性があります。
対策	[ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 * TCP-pipelining を無効に設定し、 BIND を再起動する keep-response-order { any; }; なお、接続中の TCP クライアントで有効化された設定を破棄するために、設定の 'reload' や 'reconfig' ではなく BIND の再起動が必要になります。 [アップデートする] 開発者が提供する情報をもとに、使用している BIND バージョンに対応したパッチを適用してください。 * BIND 9.11.13 * BIND 9.14.8 * BIND 9.15.6 * BIND 9.11.13-S1 (BIND Supported Preview Edition) ISC によると、このパッチによりサーバ側のメモリリーク問題が修正されます。パッチ適用後も、TCP-pipelining により膨大なクエリが発生した場合に、一部の応答がドロップされる可能性があります。
公表日	2019年11月21日0:00
登録日	2019年11月22日14:03
最終更新日	2019年11月22日14:03

影響を受けるシステム

ISC, Inc.

BIND 9 Supported Preview Edition の BIND 9.11.5-S6 から 9.11.12-S1 まで

BIND 9.11.6-P1 から 9.11.12 まで

BIND 9.12.4-P1 から 9.12.4-P2 まで

BIND 9.14.1 から 9.14.7 まで

BIND 9.15 development branch の BIND 9.15.0 から 9.15.5 まで

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2019-6477	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6477
ISC, Inc.
2	CVE-2019-6477: TCP-pipelined queries can bypass tcp-clients limit	https://kb.isc.org/docs/cve-2019-6477

その他

No	名前	URL
JPCERT 注意喚起
1	JPCERT-AT-2019-0043	https://www.jpcert.or.jp/at/2019/at190043.html
JPRS
2	（緊急）BIND 9.xの脆弱性（システムリソースの過度な消費）について（CVE-2019-6477）	https://jprs.jp/tech/security/2019-11-21-bind9-vuln-tcp-pipelining.html
JVN
3	JVNVU#98706074	http://jvn.jp/cert/JVNVU98706074

変更履歴

No	変更内容	変更日
1	[2019年11月22日] 掲載	2019年11月22日14:03