Opravné aktualizace stabilních větví serveru DNS BIND 9.11.22 a 9.16.6 a také experimentální větve 9.17.4, která je ve vývoji. V nových verzích je opraveno 5 zranitelností. Nejnebezpečnější zranitelnost () Vzdáleně způsobit odmítnutí služby odesláním konkrétní sady paketů na port TCP, který přijímá připojení BIND. Odesílání abnormálně velkých požadavků AXFR na port TCP, na skutečnost, že knihovna libuv obsluhující TCP spojení přenese velikost na server, což má za následek spuštění kontroly aserce a ukončení procesu.
Další zranitelnosti:
- — Útočník může při pokusu o minimalizaci QNAME po přesměrování požadavku spustit kontrolu asercí a zhroucení překladače. Problém se objevuje pouze na serverech s povolenou minifikací QNAME a spuštěnými v režimu „předem první“.
- — Útočník může zahájit kontrolu tvrzení a nouzové ukončení pracovního postupu, pokud útočníkův server DNS vrátí nesprávné odpovědi s podpisem TSIG jako odpověď na požadavek serveru DNS oběti.
- — Útočník může spustit kontrolu aserce a nouzové ukončení handleru odesláním speciálně navržených zónových požadavků podepsaných klíčem RSA. Problém se objeví pouze při sestavování serveru s volbou „-enable-native-pkcs11“.
- — Útočník, který má oprávnění měnit obsah určitých polí v zónách DNS, může získat další oprávnění ke změně dalšího obsahu zóny DNS.
Zdroj: opennet.ru