Es wurden korrigierende Updates für die stabilen Zweige des BIND-DNS-Servers 9.11.37, 9.16.27 und 9.18.1 veröffentlicht, die vier Schwachstellen beheben:
- CVE-2021-25220 – die Möglichkeit, falsche NS-Einträge in den DNS-Server-Cache zu ersetzen (Cache-Poisoning), was zu Aufrufen an falsche DNS-Server führen kann, die falsche Informationen liefern. Das Problem manifestiert sich bei Resolvern, die im Modus „Zuerst weiterleiten“ (Standard) oder „Nur weiterleiten“ arbeiten, wenn einer der Weiterleiter kompromittiert ist (vom Weiterleiter empfangene NS-Einträge landen im Cache und können dann zum Zugriff auf den führen). falscher DNS-Server bei rekursiven Abfragen).
- CVE-2022-0396 ist ein Denial-of-Service (Verbindungen bleiben auf unbestimmte Zeit im Status CLOSE_WAIT hängen), der durch das Senden speziell gestalteter TCP-Pakete initiiert wird. Das Problem tritt nur auf, wenn die Einstellung „keep-response-order“ aktiviert ist, die standardmäßig nicht verwendet wird, und wenn die Option „keep-response-order“ in der ACL angegeben ist.
- CVE-2022-0635 – Der genannte Prozess kann abstürzen, wenn bestimmte Anfragen an den Server gesendet werden. Das Problem tritt auf, wenn der DNSSEC-Validated Cache-Cache verwendet wird, der standardmäßig in Zweig 9.18 aktiviert ist (Dnssec-Validierung und Synth-from-DNSsec-Einstellungen).
- CVE-2022-0667 – Es ist möglich, dass der benannte Prozess bei der Verarbeitung zurückgestellter DS-Anfragen abstürzt. Das Problem tritt nur im BIND 9.18-Zweig auf und wird durch einen Fehler verursacht, der bei der Überarbeitung des Client-Codes für die rekursive Abfrageverarbeitung gemacht wurde.
Source: opennet.ru