якія карэктуюць абнаўленні стабільных галінак DNS-сервера BIND 9.11.22 і 9.16.6, а таксама змешчанай у распрацоўцы эксперыментальнай галіны 9.17.4. У новых выпусках ухілена 5 уразлівасцяў. Найбольш небяспечная ўразлівасць () выдалена выклікаць адмову ў абслугоўванні праз адпраўку вызначанага набору пакетаў на TCP-порт, на якім прымае злучэнні BIND. Адпраўка на TCP-порт анамальна вялікіх запытаў AXFR, да таго, што абслуговая TCP-злучэнне бібліятэка libuv перадасць серверу памер, які прыводзіць да спрацоўвання праверкі assertion і завяршэнню працэсу.
Іншыя ўразлівасці:
- - атакавалы можа ініцыяваць спрацоўванне праверкі assertion і экстранае завяршэнне рэзаверу пры спробе мінімізацыі QNAME пасля перанакіравання запыту. Праблема выяўляецца толькі на серверах з уключанай мінімізацыяй QNAME, якія працуюць у рэжыме 'forward first'.
- - атакавалы можа ініцыяваць спрацоўванне праверкі assertion і экстранае завяршэнне працоўнага працэсу ў выпадку, калі DNS-сервер атакавалага верне ў адказ на запыт DNS-сервера ахвяры некарэктныя адказы з подпісам TSIG.
- - атакавалы можа ініцыяваць спрацоўванне праверкі assertion і экстранае завяршэнне апрацоўшчыка праз адпраўку спецыяльна аформленых запытаў зоны, падпісанай ключом RSA. Праблема выяўляецца толькі пры зборцы сервера з опцыяй "-enable-native-pkcs11".
- - атакавалы, які мае паўнамоцтвы змяняць змесціва вызначаных палёў у DNS-зонах, можа атрымаць дадатковыя прывілеі для змены іншага змесціва DNS-зоны.
Крыніца: opennet.ru