Апублікаваны якія карэктуюць абнаўленні стабільных галінак DNS-сервера BIND 9.11.37, 9.16.27 і 9.18.1, у якіх ухіленыя чатыры ўразлівасці:
- CVE-2021-25220 – магчымасць падстаноўкі некарэктных NS-запісаў у кэш DNS-сервера (атручванне кэша), што можа прывесці да звароту да няслушных DNS-сервераў, якія аддаюць ілжывыя звесткі. Праблема выяўляецца ў рэзалверах, якія працуюць у рэжымах "forward first" (па змаўчанні) або "forward only", ва ўмове кампраметацыі аднаго з forwarder-ов (NS-запісы, атрыманыя ад forwarder-а, асядаюць у кэшы і затым могуць прывесці да звароту не да таго DNS-серверу пры выкананні рэкурсіўных запытаў).
- CVE-2022-0396 — адмова ў абслугоўванні (бясконцае завісанне злучэнняў у стане CLOSE_WAIT), якая ініцыюецца праз адпраўку спецыяльна аформленых TCP-пакетаў. Праблема выяўляецца толькі пры ўключэнні налады keep-response-order, якая не выкарыстоўваецца па змаўчанні, а таксама пры ўказанні ў ACL опцыі keep-response-order.
- CVE-2022-0635 – магчымасць аварыйнага завяршэння працэсу named праз адпраўку пэўных запытаў да сервера. Праблема выяўляецца пры выкарыстанні кэша правераных DNSSEC-запытаў (DNSSEC-Validated Cache), які ўключаны па змаўчанні ў галінцы 9.18 (налады dnssec-validation і synth-from-dnssec).
- CVE-2022-0667 – магчымасць аварыйнага завяршэння працэсу named пры апрацоўцы адкладзеных DS-запытаў. Праблема праяўляецца толькі ў галінцы BIND 9.18 і выклікана памылкай, дапушчанай пры перапрацоўцы кліенцкага кода для рэкурсіўнай апрацоўкі запытаў.
Крыніца: opennet.ru