Byly zveřejněny opravné aktualizace stabilních větví serveru DNS BIND 9.11.37, 9.16.27 a 9.18.1, které opravují čtyři chyby zabezpečení:
- CVE-2021-25220 - možnost nahrazení nesprávných záznamů NS do mezipaměti serveru DNS (otrava mezipaměti), což může vést k volání na nesprávné servery DNS, které poskytují nepravdivé informace. Problém se projevuje u resolverů pracujících v režimech „forward first“ (výchozí) nebo „forward only“, kdy je kompromitován jeden z forwarderů (NS záznamy přijaté od forwarderu skončí v mezipaměti a mohou pak vést k přístupu do nesprávný server DNS při provádění rekurzivních dotazů).
- CVE-2022-0396 je odmítnutí služby (připojení po neomezenou dobu visí ve stavu CLOSE_WAIT) iniciované odesláním speciálně vytvořených paketů TCP. Problém se objeví pouze tehdy, když je povoleno nastavení keep-response-order, které se ve výchozím nastavení nepoužívá, a když je v seznamu ACL zadána volba keep-response-order.
- CVE-2022-0635 - pojmenovaný proces může selhat při odesílání určitých požadavků na server. Problém se projevuje při použití DNSSEC-Validated Cache cache, která je ve větvi 9.18 standardně povolena (nastavení dnssec-validation a synth-from-dnssec).
- CVE-2022-0667 – Je možné, že pojmenovaný proces selže při zpracování odložených požadavků DS. Problém se objevuje pouze ve větvi BIND 9.18 a je způsoben chybou při přepracování kódu klienta pro rekurzivní zpracování dotazu.
Zdroj: opennet.ru