Sono stati pubblicati aggiornamenti correttivi ai rami stabili del server DNS BIND 9.11.37, 9.16.27 e 9.18.1 che risolvono quattro vulnerabilità:
- CVE-2021-25220 - la possibilità di sostituire record NS errati nella cache del server DNS (avvelenamento della cache), che può portare a chiamate a server DNS errati che forniscono informazioni false. Il problema si manifesta nei risolutori che operano in modalità “forward first” (default) o “forward only”, quando uno dei forwarder risulta compromesso (i record NS ricevuti dal forwarder finiscono nella cache e possono quindi portare all’accesso al server server DNS errato durante l'esecuzione di query ricorsive).
- CVE-2022-0396 è un rifiuto di servizio (le connessioni si bloccano per un tempo indefinito nello stato CLOSE_WAIT) avviato tramite l'invio di pacchetti TCP appositamente predisposti. Il problema si verifica solo quando è abilitata l'impostazione dell'ordine di risposta, che non viene utilizzata per impostazione predefinita, e quando l'opzione dell'ordine di risposta è specificata nell'ACL.
- CVE-2022-0635: il processo indicato può bloccarsi durante l'invio di determinate richieste al server. Il problema si verifica quando si utilizza la cache DNSSEC-Validated Cache, che è abilitata per impostazione predefinita nel ramo 9.18 (impostazioni di convalida dnssec e synth-from-dnssec).
- CVE-2022-0667 – È possibile che il processo denominato si blocchi durante l'elaborazione delle richieste DS differite. Il problema si presenta solo nel ramo BIND 9.18 ed è causato da un errore commesso durante la rielaborazione del codice client per gestire le query ricorsive.
Fonte: opennet.ru