Megjelentek a BIND DNS-kiszolgáló 9.11.37, 9.16.27 és 9.18.1 stabil ágaihoz tartozó javító frissítések, amelyek négy sebezhetőséget javítanak ki:
- CVE-2021-25220 — egy sebezhetőség létezik, ahol helytelen NS rekordok kerülhetnek a DNS-kiszolgáló gyorsítótárába (gyorsítótár-mérgezés), ami helytelen DNS-kiszolgálókhoz intézett, hamis információkat visszaadó kérésekhez vezethet. A probléma a „továbbítás először” (alapértelmezett) vagy „csak továbbítás” módban működő feloldókat érinti, amikor az egyik továbbító veszélybe kerül. A továbbítótól kapott NS rekordok a gyorsítótárban maradnak, és rekurzív lekérdezések végrehajtásakor a rossz DNS-kiszolgálóhoz intézett kérésekhez vezethetnek.
- CVE-2022-0396 – Szolgáltatásmegtagadási sebezhetőség (végtelen kapcsolatmegszakadás CLOSE_WAIT állapotban), amelyet speciálisan létrehozott TCP csomagok küldése vált ki. A probléma csak akkor jelentkezik, ha a keep-response-order beállítás engedélyezve van (ami alapértelmezés szerint nincs használatban), és ha a keep-response-order opció meg van adva az ACL-ben.
- CVE-2022-0635 - A megnevezett folyamat összeomlásának lehetősége bizonyos kérések küldésével a következőhöz: szerverA probléma a DNSSEC-Validated Cache használatakor jelentkezik, amely alapértelmezés szerint engedélyezve van a 9.18-as ágban (dnssec-validation és synth-from-dnssec beállítások).
- CVE-2022-0667 – A megnevezett folyamat lehetséges összeomlása késleltetett DS-lekérdezések feldolgozásakor. A probléma csak a BIND 9.18-at érinti, és a rekurzív lekérdezésfeldolgozás klienskódjának újrafaktorálásában fellépő hiba okozza.
Forrás: opennet.ru
