Korrektiewe opdaterings aan die stabiele takke van die BIND DNS-bediener 9.11.37, 9.16.27 en 9.18.1 is gepubliseer, wat vier kwesbaarhede regstel:
- CVE-2021-25220 - die moontlikheid om verkeerde NS-rekords in die DNS-bedienerkas te vervang (kasvergiftiging), wat kan lei tot oproepe na verkeerde DNS-bedieners wat vals inligting verskaf. Die probleem manifesteer hom in oplossers wat in die "vorentoe eerste" (verstek) of "slegs aanstuur"-modus werk, indien een van die aanstuurders gekompromitteer is (NS-rekords wat van die aanstuurder ontvang word beland in die kas en kan dan lei tot toegang tot die verkeerde DNS-bediener wanneer rekursiewe navrae uitgevoer word).
- CVE-2022-0396 is 'n ontkenning van diens (verbindings hang onbepaald in die CLOSE_WAIT-toestand) wat geïnisieer word deur spesiaal vervaardigde TCP-pakkies te stuur. Die probleem verskyn slegs wanneer die hou-reaksie-bestelling-instelling geaktiveer is, wat nie by verstek gebruik word nie, en wanneer die hou-reaksie-bestelling-opsie in die ACL gespesifiseer is.
- CVE-2022-0635 - die genoemde proses kan ineenstort wanneer sekere versoeke na die bediener gestuur word. Die probleem manifesteer hom wanneer die DNSSEC-Validated Cache-kas gebruik word, wat by verstek geaktiveer is in tak 9.18 (dnssec-validering en synth-from-dnssec-instellings).
- CVE-2022-0667 – Dit is moontlik dat die genoemde proses ineenstort wanneer uitgestelde DS-versoeke verwerk word. Die probleem verskyn slegs in die BIND 9.18-tak en word veroorsaak deur 'n fout wat gemaak is wanneer die kliëntkode herwerk word vir rekursiewe navraagverwerking.
Bron: opennet.ru