Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.37, 9.16.27 и 9.18.1, в которых устранены четыре уязвимости:
- CVE-2021-25220 — возможность подстановки некорректных NS-записей в кэш DNS-сервера (отравление кэша), что может привести к обращению к неверным DNS-серверам, отдающим ложные сведения. Проблема проявляется в резолверах, работающих в режимах «forward first» (по умолчанию) или «forward only», в условии компрометации одного из forwarder-ов (NS-записи, полученные от forwarder-а, оседают в кэше и затем могут привести к обращению не к тому DNS-серверу при выполнении рекурсивных запросов).
- CVE-2022-0396 — отказ в обслуживании (бесконечное зависание соединений в состоянии CLOSE_WAIT), инициируемый через отправку специально оформленных TCP-пакетов. Проблема проявляется только при включении настройки keep-response-order, которая не используется по умолчанию, а также при указании в ACL опции keep-response-order.
- CVE-2022-0635 — возможность аварийного завершения процесса named через отправку определённых запросов к серверу. Проблема проявляется при использовании кэша проверенных DNSSEC-запросов (DNSSEC-Validated Cache), который включён по умолчанию в ветке 9.18 (настройки dnssec-validation и synth-from-dnssec).
- CVE-2022-0667 — возможность аварийного завершения процесса named при обработке отложенных DS-запросов. Проблема проявляется только в ветке BIND 9.18 и вызвана ошибкой, допущенной при переработке клиентского кода для рекурсивной обработки запросов.
isi: opennet.ru