Avaldatud on BIND DNS-serveri stabiilsete harude 9.11.37, 9.16.27 ja 9.18.1 parandusvärskendused, mis parandavad neli haavatavust:
- CVE-2021-25220 - võimalus asendada DNS-serveri vahemällu valed NS-kirjed (vahemälu mürgistus), mis võib põhjustada kõnesid valedele DNS-serveritele, mis annavad valeandmeid. Probleem avaldub lahendajates, mis töötavad režiimis "esimene edasi" (vaikimisi) või "ainult edasi" siis, kui üks ekspediitoritest on ohustatud (ekspedeerijalt saadud NS-kirjed satuvad vahemällu ja võivad seejärel viia juurdepääsu vale DNS-server rekursiivsete päringute tegemisel).
- CVE-2022-0396 on teenuse keelamine (ühendused katkevad määramata ajaks olekus CLOSE_WAIT), mis on algatatud spetsiaalselt koostatud TCP-pakettide saatmisega. Probleem ilmneb ainult siis, kui on lubatud säte Keep-response-order, mida vaikimisi ei kasutata, ja kui suvand Keep-response-order on määratud ACL-is.
- CVE-2022-0635 - nimega protsess võib teatud päringute serverisse saatmisel kokku kukkuda. Probleem ilmneb DNSSEC-valideeritud vahemälu vahemälu kasutamisel, mis on harus 9.18 vaikimisi lubatud (dnssec-validation ja synth-from-dnssec seaded).
- CVE-2022-0667 – edasilükatud DS-i päringute töötlemisel võib nimetatud protsess kokku jooksta. Probleem ilmneb ainult BIND 9.18 harus ja selle põhjuseks on viga, mis tehti kliendi koodi ümbertöötamisel rekursiivse päringu töötlemiseks.
Allikas: opennet.ru