JVNDB-2023-026066

JVNDB-2023-026066
レッドハットの Red Hat Enterprise Linux 等複数ベンダの製品における制限またはスロットリング無しのリソースの割り当てに関する脆弱性
概要
レッドハットの Red Hat Enterprise Linux 等複数ベンダの製品には、制限またはスロットリング無しのリソースの割り当てに関する脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 7.5 (重要) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 高
影響を受けるシステム

CZ.NIC Knot Resolver 5.71 未満 Fedora Project Fedora 39 ISC, Inc. BIND 9.0.0 から 9.16.46 BIND 9.18.0 から 9.18.22 BIND 9.19.0 から 9.19.20 NLnet Labs unbound 1.19.1 未満 PowerDNS PowerDNS Recursor 4.8.0 以上 4.8.6 未満 PowerDNS Recursor 4.9.0 以上 4.9.3 未満 PowerDNS Recursor 5.0.0 以上 5.0.2 未満 thekelleys Dnsmasq 2.90 未満マイクロソフト Microsoft Windows Server 2008 r2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 r2 Microsoft Windows Server 2016 Microsoft Windows Server 2019 Microsoft Windows Server 2022 windows server 2022 23h2 レッドハット Red Hat Enterprise Linux 6.0 Red Hat Enterprise Linux 7.0 Red Hat Enterprise Linux 8.0 Red Hat Enterprise Linux 9.0 日本電気 ESMPRO/ServerAgent NEC Multimedia OLAP for 映像分析サービス

想定される影響
サービス運用妨害 (DoS) 状態にされる可能性があります。
対策
ベンダアドバイザリまたはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
ベンダ情報
CZ.NIC GitLab : v5.7.1 Fedora Project Fedora Update Notification : FEDORA-2024-e24211eff0 Fedora Update Notification : FEDORA-2024-c36c448396 Fedora Update Notification : FEDORA-2024-21310568fa Fedora Update Notification : FEDORA-2024-499b9be35f Fedora Update Notification : FEDORA-2024-2e26eccfcb Fedora Update Notification : FEDORA-2024-b0f9656a76 Fedora Update Notification : FEDORA-2024-4e36df9dfd ISC, Inc. ISC, Inc. : BIND 9 Security Release and Multi-Vendor Vulnerability Handling, CVE-2023-50387 and CVE-2023-50868 Security Advisories : CVE-2023-50387: KeyTrap - Extreme CPU consumption in DNSSEC validator NLnet Labs NLnet Labs : Unbound 1.19.1 released PowerDNS Security Advisory : PowerDNS Security Advisory 2024-01: crafted DNSSEC records in a zone can lead to a denial of service in Recursor thekelleys Dnsmasq-discuss : [Dnsmasq-discuss] Announce: dnsmasq-2.90. マイクロソフト Security Update Guide : MITRE: CVE-2023-50387 DNSSEC verification complexity can be exploited to exhaust CPU resources and stall DNS resolvers セキュリティ更新プログラムガイド : MITRE: CVE-2023-50387 DNS RRSIGs and DNSKEYs validation can be abused to remotely consume DNS server resources レッドハット Red Hat Customer Portal : CVE-2023-50387 日本電気 NEC製品セキュリティ情報 : NV24-003
CWEによる脆弱性タイプ一覧 CWEとは?
制限またはスロットリング無しのリソースの割り当て(CWE-770) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2023-50387
参考情報
JVN : JVNVU#92131687 JVN : JVNVU#96191615 National Vulnerability Database (NVD) : CVE-2023-50387 ICS-CERT ADVISORY : ICSA-24-319-08 関連文書 : www.openwall.com (oss-security/2024/02/16/2) 関連文書 : www.openwall.com (oss-security/2024/02/16/3) 関連文書 : bugzilla.suse.com (1219823) 関連文書 : lists.debian.org (msg00006) 関連文書 : news.ycombinator.com (39367411) 関連文書 : news.ycombinator.com (39372384) 関連文書 : www.athene-center.de (key-trap) 関連文書 : www.athene-center.de (Technical_Report_KeyTrap) 関連文書 : www.securityweek.com (keytrap-dns-attack-could-disable-large-parts-of-internet-researchers) 関連文書 : www.theregister.com (dnssec_vulnerability_internet)
更新履歴
[2024年02月27日] 掲載 [2023年05月10日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日本電気 (NV24-003) を追加 [2024年11月19日] 参考情報：JVN (JVNVU#96191615) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-319-08) を追加 [2025年01月17日] 影響を受けるシステム：ベンダ情報 (NV24-003) の更新に伴い内容を更新


公表日	2023/12/07
登録日	2024/02/27
最終更新日	2025/01/17

レッドハットの Red Hat Enterprise Linux 等複数ベンダの製品における制限またはスロットリング無しのリソースの割り当てに関する脆弱性