به روز رسانی های اصلاحی برای شاخه های پایدار سرور BIND DNS 9.11.37، 9.16.27 و 9.18.1 منتشر شده است که چهار آسیب پذیری را برطرف می کند:
- CVE-2021-25220 - امکان جایگزینی رکوردهای نادرست NS در حافظه پنهان سرور DNS (مسمومیت کش) که می تواند منجر به تماس با سرورهای DNS نادرست شود که اطلاعات نادرست ارائه می دهند. اگر یکی از فورواردکنندهها در معرض خطر قرار گیرد، مشکل در حلکنندههایی که در حالتهای «اول فوروارد» (پیشفرض) یا «فقط فوروارد» کار میکنند، ظاهر میشود (سوابق NS دریافتشده از فورواردکننده به کش ختم میشوند و سپس میتوانند به دسترسی به سرور DNS اشتباه هنگام انجام پرس و جوهای بازگشتی).
- CVE-2022-0396 یک انکار سرویس است (اتصالات به طور نامحدود در حالت CLOSE_WAIT قطع می شوند) که با ارسال بسته های TCP ساخته شده ویژه آغاز می شود. این مشکل تنها زمانی ظاهر می شود که تنظیم keep-response-order فعال باشد که به طور پیش فرض استفاده نمی شود و زمانی که گزینه keep-response-order در ACL مشخص شده باشد.
- CVE-2022-0635 - فرآیند نامگذاری شده می تواند هنگام ارسال درخواست های خاص به سرور از کار بیفتد. مشکل هنگام استفاده از کش DNSSEC-Validated Cache که به طور پیش فرض در شاخه 9.18 فعال است (تنظیمات dnssec-validation و synth-from-dnssec) خود را نشان می دهد.
- CVE-2022-0667 - ممکن است هنگام پردازش درخواستهای معوق DS، فرآیند نامگذاری شده از کار بیفتد. مشکل فقط در شاخه BIND 9.18 ظاهر می شود و به دلیل اشتباهی است که هنگام کار مجدد کد کلاینت برای پردازش پرس و جو بازگشتی ایجاد شده است.
منبع: opennet.ru