Обновление DNS-сервера BIND 9.14.3, 9.11.8, 9.15.1 с устранением DoS-уязвимости

Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.14.3, 9.11.8 и 9.12.4-P2, а также находящейся в разработке экспериментальной ветки 9.15.1. Одновременно объявлено о прекращении дальнейшей поддержки ветки 9.12, обновления для которой больше выпускаться не будут.

Обновления примечательны устранением уязвимости (CVE-2019-6471), позволяющей вызвать отказ в обслуживании (завершение работы процесса с assertion REQUIRE). Проблема вызвана состоянием гонки (race condition), возникающим при обработке очень большого числа специально оформленных входящих пакетов, подпадающих под фильтр блокировки. Для эксплуатации уязвимости атакующий должен направить к резолверу жертвы большое число запросов, приводящих к обращению к DNS-серверу злоумышленника, возвращающего некорректные ответы.

Источник: opennet.ru