Mises à jour correctives des branches stables du serveur DNS BIND 9.11.22 et 9.16.6, ainsi que de la branche expérimentale 9.17.4, en cours de développement. 5 vulnérabilités sont corrigées dans les nouvelles versions. La vulnérabilité la plus dangereuse () Provoquer à distance un déni de service en envoyant un ensemble spécifique de paquets à un port TCP qui accepte les connexions BIND. Envoi de requêtes AXFR anormalement volumineuses vers un port TCP, au fait que la bibliothèque libuv servant la connexion TCP transmettra la taille au serveur, ce qui entraînera le déclenchement de la vérification de l'assertion et la fin du processus.
Autres vulnérabilités :
- — un attaquant peut déclencher une vérification d'assertion et planter le résolveur en essayant de minimiser QNAME après avoir redirigé une requête. Le problème n'apparaît que sur les serveurs sur lesquels la minification QNAME est activée et exécutés en mode « avant d'abord ».
- — l'attaquant peut lancer une vérification d'assertion et un arrêt d'urgence du flux de travail si le serveur DNS de l'attaquant renvoie des réponses incorrectes avec la signature TSIG en réponse à une demande du serveur DNS de la victime.
- — un attaquant peut déclencher la vérification d'assertion et la terminaison d'urgence du gestionnaire en envoyant des requêtes de zone spécialement conçues et signées avec une clé RSA. Le problème n'apparaît que lors de la construction du serveur avec l'option « -enable-native-pkcs11 ».
- — un attaquant disposant du pouvoir de modifier le contenu de certains champs dans les zones DNS peut obtenir des privilèges supplémentaires pour modifier d'autres contenus de la zone DNS.
Source: opennet.ru