Des mises à jour correctives des branches stables du serveur DNS BIND 9.11.37, 9.16.27 et 9.18.1 ont été publiées, qui corrigent quatre vulnérabilités :
- CVE-2021-25220 - la possibilité de remplacer des enregistrements NS incorrects dans le cache du serveur DNS (empoisonnement du cache), ce qui peut conduire à des appels vers des serveurs DNS incorrects fournissant de fausses informations. Le problème se manifeste dans les résolveurs fonctionnant en mode « forward first » (par défaut) ou « forward only », si l'un des redirecteurs est compromis (les enregistrements NS reçus du forwarder finissent dans le cache et peuvent alors conduire à l'accès au mauvais serveur DNS lors de l'exécution de requêtes récursives).
- CVE-2022-0396 est un déni de service (les connexions se bloquent indéfiniment dans l'état CLOSE_WAIT) initié par l'envoi de paquets TCP spécialement conçus. Le problème apparaît uniquement lorsque le paramètre keep-response-order est activé, qui n'est pas utilisé par défaut, et lorsque l'option keep-response-order est spécifiée dans l'ACL.
- CVE-2022-0635 - le processus nommé peut planter lors de l'envoi de certaines requêtes au serveur. Le problème se manifeste lors de l'utilisation du cache DNSSEC-Validated Cache, qui est activé par défaut dans la branche 9.18 (paramètres dnssec-validation et synth-from-dnssec).
- CVE-2022-0667 – Il est possible que le processus nommé plante lors du traitement des requêtes DS différées. Le problème n'apparaît que dans la branche BIND 9.18 et est dû à une erreur commise lors de la refonte du code client pour le traitement récursif des requêtes.
Source: opennet.ru