Taisomi BIND DNS serverio stabilių šakų 9.11.22 ir 9.16.6, taip pat eksperimentinės šakos 9.17.4, kuri yra kuriama. Naujose versijose ištaisytos 5 spragos. Pavojingiausias pažeidžiamumas () Nuotoliniu būdu sukelkite paslaugų atsisakymą siųsdami konkretų paketų rinkinį į TCP prievadą, kuris priima BIND ryšius. Neįprastai didelių AXFR užklausų siuntimas į TCP prievadą, į tai, kad TCP ryšį aptarnaujanti libuv biblioteka perduos dydį į serverį, ko pasekoje įsijungs tvirtinimo patikra ir procesas baigsis.
Kiti pažeidžiamumai:
- — užpuolikas gali suaktyvinti tvirtinimo patikrinimą ir sugadinti sprendiklį, kai peradresavęs užklausą bando sumažinti QNAME. Problema iškyla tik serveriuose, kuriuose įjungtas QNAME sumažinimas ir veikia „pirmiausia pirmyn“ režimu.
- — užpuolikas gali inicijuoti tvirtinimo patikrinimą ir avarinį darbo eigos nutraukimą, jei užpuoliko DNS serveris pateikia neteisingus atsakymus su TSIG parašu, atsakydamas į aukos DNS serverio užklausą.
- — užpuolikas gali suaktyvinti tvirtinimo patikrinimą ir avarinį tvarkytojo nutraukimą, siųsdamas specialiai sukurtas zonos užklausas, pasirašytas RSA raktu. Problema atsiranda tik kuriant serverį naudojant parinktį „-enable-native-pkcs11“.
- — užpuolikas, turintis teisę keisti tam tikrų DNS zonų laukų turinį, gali įgyti papildomų privilegijų keisti kitą DNS zonos turinį.
Šaltinis: opennet.ru