2024년 3월 8일


요약

Infoblox NIOS 제품의 모든 버전은 CVE-2023-4408, CVE-2023-5680, CVE-2023-50387 및 CVE-2023-50868에 취약합니다.



개요

2024년 2월 13일, ISC는 CVE-2023-4408, CVE-2023-5680, CVE-2023-50387, CVE-2023-50868을 발표했습니다.



CVE-2023-4408 : 큰 DNS 메시지를 구문 분석하면 과도한 CPU 부하가 발생할 수 있습니다. 이 문제는 권위 있는 서버와 재귀 리졸버 모두에 영향을 미칩니다.

  • 영향을 받은 프로그램: BIND
  • 심각도: 높음
  • 이용 가능: 7.5
  • 영향: 이 결함을 악용하는 쿼리로 대상 서버를 범람시킴으로써 공격자는 서버의 성능을 크게 손상시킬 수 있으며, DNS 해결 서비스에 대한 합법적인 클라이언트의 액세스를 효과적으로 거부할 수 있습니다.
  • CVSS 점수: 원격으로
  • CVSS 벡터: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H


CVE-2023-5680 : ECS 지원 캐시를 청소하면 과도한 CPU 부하가 발생할 수 있습니다. 리졸버 캐시에 같은 이름으로 저장된 매우 많은 수의 ECS 레코드가 있는 경우, 이 이름의 캐시 데이터베이스 노드를 정리하는 과정은 쿼리 성능을 크게 손상시킬 수 있습니다.

  • 영향을 받은 프로그램: BIND
  • 심각도: 중간
  • 악용 가능: 원격으로
  • 영향: 특정 쿼리를 리졸버에 보내면 공격자는 이름의 쿼리 처리 성능을 저하시킬 수 있습니다. 최악의 시나리오에서, 리졸버는 완전히 반응하지 않게 될 수 있다.
  • CVSS 점수: 5.3
  • CVSS 벡터: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L


CVE-2023-50387 : 특별히 제작된 DNSSEC 서명 구역은 리졸버 검증에서 CPU 고갈을 유발할 수 있습니다.

  • 영향을 받은 프로그램: BIND
  • 심각도: 높음
  • 악용 가능: 원격으로
  • 영향: 다른 일반 쿼리의 처리에 대한 잠재적인 일시적인 거부.
  • CVSS 점수: 7.5
  • CVSS 벡터: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H


CVE-2023-50868 : ENSEC3를 사용하여 DNSSEC 서명 영역에 대한 특수 제작된 쿼리는 리졸버 검증에서 매우 높은 CPU 소비를 유발할 수 있습니다.

  • 영향을 받은 프로그램: BIND
  • 심각도: 높음
  • 악용 가능: 원격으로
  • 영향: 다른 일반 쿼리의 처리에 대한 잠재적인 일시적인 거부.
  • CVSS 점수: 7.5
  • CVSS 벡터: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H



영향을 받는 버전

현재 버전의 모든 NIOS는 취약합니다.



해결

2024년 3월 6일 현재 Infoblox는 다음 NIOS 릴리스(8.6.2.4, 8.6.3.3, 8.6.4, 9.0.2, 9.0.3) 각각에 대한 수정된 수정 사항을 출시했습니다. 이는 'EDNS Client Subnet(ECS)' DNS Extension 또는 'Enable AAAA Filtering' 옵션이 활성화된 일부 특수 사례 환경을 해결하기 위한 것입니다. 

이러한 NIOS 릴리스 중 하나를 실행하고 있지 않은 경우 새 보안 핫픽스를 설치하기 전에 이러한 버전 중 하나로 업그레이드하십시오. 'CHF(통합 핫픽스)' 파일을 포함한 NIOS 소프트웨어는 Infoblox 지원 포털 다운로드 센터에서 찾을 수 있습니다.

업그레이드 경로는 각 NIOS 버전의 릴리스 노트에서 찾을 수 있습니다.

CHF가 표시된 경우 해당 릴리스 노트에 제공된 지침에 따라 CHF를 NIOS에 적용해야 합니다. CHF를 잘못 설치하면 이 새로운 보안 핫픽스 적용이 실패하게 됩니다.

NIOS 버전별 핫픽스를 Grid(8.6.2.4, 8.6.3.3, 8.6.4, 9.0.2, 9.0.3)에 적용하세요. 관련 파일은 이 기술 자료(kb) 문서에 첨부되어 있습니다. NIOS 버전에 맞는 핫픽스 및 Revert 핫픽스를 다운로드 하시면 됩니다.


NIOS Version-Specific Hotfix Files (attached to this KB) 

8.6.2.4 (즉 CHF-4가 이미 설치된 8.6.2) 

File 

File Name 

Hotfix Release Form 

Revised_Hotfix_Release_Form_NIOS-99009.pdf 

Hotfix 

Hotfix-BIND_CVE_8.6.2_CHF4_NIOS_99359_a2bf769_APPLY-5ab4827db55ed8073d61af9108957e6f-Thu-Feb-22-04-52-59-2024.bin 

Hotfix SHA256SUM 

b04325c96d2f4a797983e84479a37a17f204e4ffa6224f37d9727568abba5456 

Revert Hotfix 

Hotfix-BIND_CVE_8.6.2_CHF4_NIOS_99359_a2bf769_REVERT-bf7b0462771a52af381aaa778c1d5102-Thu-Feb-22-04-56-47-2024.bin 

Revert Hotfix SHA256SUM 

8324d363c96a6b28404aedbcedc639926a511e7976e9cbd75379dcd0050fa689 

 

8.6.3.3 
NIOS 8.6.3 CHF-3 (즉, 8.6.3.3)에는 CVE에 영향을 미치는 수정 사항이 포함되어 있으며 이제 Infoblox 지원 포털 다운로드 센터에서 사용할 수 있습니다. CHF 설치 지침을 정확하게 따르십시오(각각 CHF 핫픽스 릴리스 양식에 포함됨).


8.6.4

File 

File Name 

Hotfix Release Form 

Revised_Hotfix_Release_Form_NIOS-99009.pdf

Hotfix 

Hotfix-8-6-4-NIOS-99363-f4d6c12-APPLY-d6a060893628a99134e68b3c0101c691-Thu-Feb-22-04-09-40-2024.bin

Hotfix SHA256SUM 

dba13726e08b9e8b07a2f36640925dc2f7a6ee185af958b3c3f20c162aabfd45

Revert Hotfix 

Hotfix-8-6-4-NIOS-99363-f4d6c12-REVERT-de36eb841addaa6683c17c97161300e9-Thu-Feb-22-04-31-36-2024.bin

Revert Hotfix SHA256SUM 

3bbff5b6c4c057780b550c871c7911054e5d75543c9a3db5fd24c6b68ae28a6f

 

9.0.2 

File 

File Name 

Hotfix Release Form 

Revised_Hotfix_Release_Form_NIOS-99009.pdf

Hotfix 

Hotfix-9-0-2-NIOS-99360-44dc458-APPLY-fe0a271e481a57b09a51fb4691738a64-Thu-Feb-29-01-55-41-2024.bin

Hotfix SHA256SUM 

fb20f45c677877ab322fe396b38c1ea6e2c49e871c0cd9f538b2f3fbb8f008f2 

Revert Hotfix 

Hotfix-9-0-2-NIOS-99360-44dc458-REVERT-fa51e471a1c5f07a6825784838cc8e5a-Thu-Feb-29-20-49-44-2024.bin

Revert Hotfix SHA256SUM 

02fe480d4d1d056ffbaaace65a2d6493d7775cfaf35993e263a7be766b933e8c 

 

9.0.3 

File 

File Name 

Hotfix Release Form 

Revised_Hotfix_Release_Form_NIOS-99009.pdf

Hotfix 

Hotfix Name: Hotfix-9-0-3-NIOS-99356-b3ce957-APPLY-bb5efbe14f53f06b25009968df418114-Wed-Feb-28-00-56-48-2024.bin

Hotfix SHA256SUM 

96a13e19e49e2fe054e87065e4a5561f6f95d6938fc750cfc463745e6281fdd3 

Revert Hotfix 

Hotfix-9-0-3-NIOS-99356-b3ce957-REVERT-8e291323a2d4c6bcce8b89c8f7ff1db0-Wed-Feb-28-01-08-13-2024.bin 

Revert Hotfix SHA256SUM 

168558fe45517ab1347d7fc74cb821faa9a69a26e238702ca19fb34503ad8b6a 

 


해결방법

영향을 미치는 전체 CVE 그룹에 대해 실행 가능한 해결 방법은 없습니다. 이 KB 및 첨부된 핫픽스 릴리스 양식의 지침을 기반으로 적절하게 개정된 수정 사항을 우선적으로 적용하는 것이 좋습니다.



참고사항

  • 이 KB의 핫픽스 파일은 CVE-2023-4408, CVE-2023-5680, CVE-2023-50387, CVE-2023-50868을 해결합니다.
  • 개정된 핫픽스는 첫 번째 핫픽스 위에 설치할 수 있으며, 첫 번째 핫픽스(즉, 2월 13일에 출시된 핫픽스)가 설치되지 않은 경우 독립형으로 설치할 수 있습니다.
  • 8.6.2 핫픽스의 경우, 개정된 보안 수정을 적용하기 전에 일치하는 CHF를 먼저 Infoblox 그리드에 설치해야 합니다. CHF 핫픽스를 완전히 설치하려면 기기 재부팅이 필요할 수 있으므로 CHF 지침을 정확하게 따르십시오.
  • NIOS 8.6.3 CHF-3에는 이러한 CVE에 대한 수정 사항이 포함되어 있으며 이제 Infoblox 지원 포털 다운로드 센터에서 사용할 수 있습니다. CHF 핫픽스를 완전히 설치하려면 기기 재부팅이 필요할 수 있으므로 CHF 지침을 정확하게 따르십시오.
  • 이 핫픽스는 모든 구성원에게 적용되어야 하지만, 강제 서비스 재시작은 현재 BIND DNS 서비스를 실행하는 회원에게만 수행되어야 합니다. DNS 서비스 재시작은 서비스 영향을 제한하기 위해 한 번에 한 명의 구성원에 대해 수행할 수 있습니다.
  • 핫픽스를 적용하기 전에, 그리드 데이터베이스 백업을 수집하는 것이 좋습니다.
  • 첨부된 핫픽스 릴리스 양식에 제공된 지침을 읽고 따르십시오.
  • Infoblox QA는 언급된 CVE 취약점을 재현하고 관련 수정 사항을 검증할 수 있었다. 보안상의 이유로, Infoblox Support는 언급된 취약점의 고객 복제를 도울 수 없으며 수정 세부 사항에 대한 모든 요청은 ISC로 보내야 합니다.
  • show upgrade_history CLI 명령을 실행하여 해당 구성원에게 이미 적용된 핫픽스를 확인할 수 있습니다. 관련 핫픽스가 이미 그리드에 적용된 경우(즉, 동일한 NIOS 버전 및 기능), 새 핫픽스를 설치하기 전에 Infoblox Support에 문의하십시오.