BIND DNS serverinin 9.11.22 və 9.16.6 stabil filiallarına, eləcə də inkişafda olan 9.17.4 eksperimental filialına düzəldici yeniləmələr. Yeni buraxılışlarda 5 boşluq aradan qaldırılıb. Ən təhlükəli zəiflik () BIND bağlantılarını qəbul edən TCP portuna xüsusi paketlər göndərməklə uzaqdan xidmətdən imtinaya səbəb olun. TCP portuna qeyri-adi dərəcədə böyük AXFR sorğularının göndərilməsi, TCP bağlantısına xidmət edən libuv kitabxanasının ölçüsünü serverə ötürməsi, təsdiqləmə yoxlamasının işə salınması və prosesin sona çatması ilə nəticələnir.
Digər zəifliklər:
- — təcavüzkar sorğunun yönləndirilməsindən sonra QNAME-ni minimuma endirməyə çalışarkən təsdiq yoxlamasını işə sala və həlledicini sıradan çıxara bilər. Problem yalnız QNAME kiçilməsi aktivləşdirilmiş və “ilk irəli” rejimində işləyən serverlərdə görünür.
- — təcavüzkarın DNS serveri qurbanın DNS serverindən gələn sorğuya cavab olaraq TSIG imzası ilə yanlış cavablar qaytararsa, təcavüzkar təsdiqləmə yoxlanışına və iş axınının təcili dayandırılmasına başlaya bilər.
- — təcavüzkar, RSA açarı ilə imzalanmış xüsusi hazırlanmış zona sorğuları göndərməklə, təsdiqləmə yoxlamasını və işləyicinin təcili dayandırılmasını işə sala bilər. Problem yalnız serveri “-enable-native-pkcs11” seçimi ilə qurarkən ortaya çıxır.
- — DNS zonalarında müəyyən sahələrin məzmununu dəyişdirmək səlahiyyətinə malik olan təcavüzkar, DNS zonasının digər məzmunlarını dəyişdirmək üçün əlavə imtiyazlar əldə edə bilər.
Mənbə: opennet.ru