Korrekturaktualisierungen der stabilen Zweige des BIND-DNS-Servers 9.11.22 und 9.16.6 sowie des experimentellen Zweigs 9.17.4, der sich in der Entwicklung befindet. 5 Schwachstellen werden in neuen Versionen behoben. Die gefährlichste Sicherheitslücke () Verursachen Sie aus der Ferne einen Denial-of-Service, indem Sie einen bestimmten Paketsatz an einen TCP-Port senden, der BIND-Verbindungen akzeptiert. Senden ungewöhnlich großer AXFR-Anfragen an einen TCP-Port, Dies liegt daran, dass die libuv-Bibliothek, die die TCP-Verbindung bedient, die Größe an den Server übermittelt, was dazu führt, dass die Assertionsprüfung ausgelöst und der Prozess beendet wird.
Weitere Schwachstellen:
- – Ein Angreifer kann eine Assertionsprüfung auslösen und den Resolver zum Absturz bringen, wenn er versucht, QNAME nach der Umleitung einer Anfrage zu minimieren. Das Problem tritt nur auf Servern auf, auf denen die QNAME-Minifizierung aktiviert ist und die im Modus „Zuerst weiterleiten“ ausgeführt werden.
- – Der Angreifer kann eine Assertionsprüfung und eine Notfallbeendigung des Workflows einleiten, wenn der DNS-Server des Angreifers als Reaktion auf eine Anfrage des DNS-Servers des Opfers falsche Antworten mit der TSIG-Signatur zurückgibt.
- – Ein Angreifer kann die Assertionsprüfung und die Notfallbeendigung des Handlers auslösen, indem er speziell entwickelte Zonenanfragen sendet, die mit einem RSA-Schlüssel signiert sind. Das Problem tritt nur auf, wenn der Server mit der Option „-enable-native-pkcs11“ erstellt wird.
- – Ein Angreifer, der die Berechtigung hat, den Inhalt bestimmter Felder in DNS-Zonen zu ändern, kann zusätzliche Berechtigungen erhalten, um andere Inhalte der DNS-Zone zu ändern.
Source: opennet.ru