Se han publicado actualizaciones correctivas de las ramas estables del servidor DNS BIND 9.11.37, 9.16.27 y 9.18.1, que corrigen cuatro vulnerabilidades:
- CVE-2021-25220: posibilidad de sustituir registros NS incorrectos en la caché del servidor DNS (envenenamiento de la caché), lo que puede provocar llamadas a servidores DNS incorrectos que proporcionan información falsa. El problema se manifiesta en los resolutores que operan en los modos "reenviar primero" (predeterminado) o "solo reenviar", si uno de los reenviadores se ve comprometido (los registros NS recibidos del reenviador terminan en el caché y luego pueden conducir al acceso al servidor DNS incorrecto al realizar consultas recursivas).
- CVE-2022-0396 es una denegación de servicio (las conexiones se bloquean indefinidamente en el estado CLOSE_WAIT) iniciada mediante el envío de paquetes TCP especialmente diseñados. El problema solo aparece cuando la configuración de mantener orden de respuesta está habilitada, que no se usa de forma predeterminada, y cuando la opción de mantener orden de respuesta se especifica en la ACL.
- CVE-2022-0635: el proceso nombrado puede fallar al enviar ciertas solicitudes al servidor. El problema se manifiesta cuando se utiliza la caché de caché validada por DNSSEC, que está habilitada de forma predeterminada en la rama 9.18 (validación de dnssec y configuración de sintetizador de dnssec).
- CVE-2022-0667: es posible que el proceso nombrado falle al procesar solicitudes DS diferidas. El problema sólo aparece en la rama BIND 9.18 y se debe a un error cometido al reelaborar el código del cliente para el procesamiento de consultas recursivas.
Fuente: opennet.ru