BIND DNS -palvelimen vakaisiin haaroihin 9.11.37, 9.16.27 ja 9.18.1 on julkaistu korjaavia päivityksiä, jotka korjaavat neljä haavoittuvuutta:
- CVE-2021-25220 - mahdollisuus korvata vääriä NS-tietueita DNS-palvelimen välimuistiin (välimuistin myrkytys), mikä voi johtaa kutsuihin vääriin DNS-palvelimiin, jotka tarjoavat vääriä tietoja. Ongelma ilmenee ratkaisuissa, jotka toimivat "välitä ensin" (oletus) tai "forward only" -tiloissa, jos jokin huolitsijoista on vaarantunut (huolitsijalta saadut NS-tietueet päätyvät välimuistiin ja voivat sitten johtaa pääsyyn väärä DNS-palvelin suoritettaessa rekursiivisia kyselyitä).
- CVE-2022-0396 on palvelunesto (yhteydet roikkuvat loputtomasti CLOSE_WAIT-tilassa), joka aloitetaan lähettämällä erityisesti muotoiltuja TCP-paketteja. Ongelma ilmenee vain, kun keep-response-order -asetus on käytössä, jota ei käytetä oletuksena, ja kun Keep-response-order -asetus on määritetty ACL:ssä.
- CVE-2022-0635 - nimetty prosessi voi kaatua lähetettäessä tiettyjä pyyntöjä palvelimelle. Ongelma ilmenee käytettäessä DNSSEC-validoitua välimuistia, joka on oletuksena käytössä haarassa 9.18 (dnssec-validation ja synth-from-dnssec -asetukset).
- CVE-2022-0667 – Nimetty prosessi voi kaatua, kun käsitellään lykättyjä DS-pyyntöjä. Ongelma esiintyy vain BIND 9.18 -haarassa, ja se johtuu virheestä, joka tehtiin työstettäessä asiakaskoodia rekursiivista kyselynkäsittelyä varten.
Lähde: opennet.ru