Publicáronse actualizacións correctoras das ramas estables do servidor BIND DNS 9.11.37, 9.16.27 e 9.18.1, que corrixen catro vulnerabilidades:
- CVE-2021-25220: a posibilidade de substituír rexistros NS incorrectos na caché do servidor DNS (envelenamento da caché), o que pode provocar chamadas a servidores DNS incorrectos que proporcionan información falsa. O problema maniféstase nos resolvedores que operan nos modos "enviar primeiro" (predeterminado) ou "só reenviar", cando un dos reenviadores está comprometido (os rexistros NS recibidos do reenviador acaban na caché e poden levar a acceso ao servidor DNS incorrecto ao realizar consultas recursivas).
- CVE-2022-0396 é unha denegación de servizo (as conexións colócanse indefinidamente no estado CLOSE_WAIT) iniciada mediante o envío de paquetes TCP especialmente elaborados. O problema só aparece cando se activa a opción keep-response-order, que non se usa por defecto, e cando se especifica a opción keep-response-order na ACL.
- CVE-2022-0635: o proceso nomeado pode fallar ao enviar determinadas solicitudes ao servidor. O problema ocorre ao usar a caché de caché validada por DNSSEC, que está activada por defecto na rama 9.18 (configuración de validación de dnssec e synth-from-dnssec).
- CVE-2022-0667: é posible que o proceso nomeado falle ao procesar solicitudes de DS diferidas. O problema aparece só na rama BIND 9.18 e é causado por un erro cometido ao reelaborar o código do cliente para xestionar consultas recursivas.
Fonte: opennet.ru