Megjelentek a BIND DNS-szerver 9.11.37, 9.16.27 és 9.18.1 stabil ágainak javító frissítései, amelyek négy sebezhetőséget javítanak ki:
- CVE-2021-25220 - helytelen NS-rekordok helyettesítésének lehetősége a DNS-kiszolgáló gyorsítótárában (gyorsítótár-mérgezés), ami hibás DNS-kiszolgálók hívásaihoz vezethet, amelyek hamis információkat szolgáltatnak. A probléma az „először előre” (alapértelmezett) vagy a „csak továbbítás” módban működő feloldókban nyilvánul meg, amikor az egyik továbbító kompromittálódik (a továbbítótól kapott NS rekordok a gyorsítótárba kerülnek, majd elérhetik a továbbítót. rossz DNS-kiszolgáló rekurzív lekérdezések végrehajtásakor).
- A CVE-2022-0396 egy szolgáltatásmegtagadás (a kapcsolatok CLOSE_WAIT állapotban határozatlan ideig lefagynak), amelyet speciálisan kialakított TCP-csomagok küldése kezdeményez. A probléma csak akkor jelenik meg, ha a Keep-response-order beállítás engedélyezve van, amely alapértelmezés szerint nincs használatban, és ha a Keep-response-order beállítás meg van adva az ACL-ben.
- CVE-2022-0635 - a megnevezett folyamat összeomolhat, amikor bizonyos kéréseket küld a kiszolgálónak. A probléma a DNSSEC-validated Cache gyorsítótár használatakor jelentkezik, amely alapértelmezés szerint engedélyezve van a 9.18-as ágban (dnssec-validation és synth-from-dnssec beállítások).
- CVE-2022-0667 – Előfordulhat, hogy a megnevezett folyamat összeomlik a halasztott DS-kérelmek feldolgozása során. A probléma csak a BIND 9.18 ágban jelenik meg, és az ügyfélkód rekurzív lekérdezésfeldolgozásra való átdolgozásakor elkövetett hiba okozza.
Forrás: opennet.ru