Korrigerende opdateringer til de stabile grene af BIND DNS-serveren 9.11.37, 9.16.27 og 9.18.1 er blevet offentliggjort, som løser fire sårbarheder:
- CVE-2021-25220 - muligheden for at erstatte forkerte NS-poster i DNS-serverens cache (cacheforgiftning), hvilket kan føre til opkald til forkerte DNS-servere, der giver falsk information. Problemet viser sig i resolvere, der opererer i "forward first" (standard) eller "forward only", hvis en af speditørerne er kompromitteret (NS-poster modtaget fra speditøren ender i cachen og kan derefter føre til adgang til forkert DNS-server ved udførelse af rekursive forespørgsler).
- CVE-2022-0396 er et lammelsesangreb (forbindelser hænger på ubestemt tid i CLOSE_WAIT-tilstanden) initieret ved at sende specialfremstillede TCP-pakker. Problemet vises kun, når indstillingen keep-response-order er aktiveret, som ikke bruges som standard, og når keep-response-order-indstillingen er angivet i ACL.
- CVE-2022-0635 - den navngivne proces kan gå ned, når der sendes visse anmodninger til serveren. Problemet viser sig, når du bruger DNSSEC-Validated Cache-cachen, som er aktiveret som standard i gren 9.18 (dnssec-validering og synth-fra-dnssec-indstillinger).
- CVE-2022-0667 – Det er muligt for den navngivne proces at gå ned ved behandling af udskudte DS-anmodninger. Problemet vises kun i BIND 9.18-grenen og er forårsaget af en fejl, der blev begået under omarbejdelse af klientkoden til rekursiv forespørgselsbehandling.
Kilde: opennet.ru