Ir publicēti BIND DNS servera 9.11.37, 9.16.27 un 9.18.1 stabilo atzaru koriģējošie atjauninājumi, kas novērš četras ievainojamības:
- CVE-2021-25220 - iespēja DNS servera kešatmiņā aizstāt nepareizus NS ierakstus (kešatmiņas saindēšanās), kas var izraisīt izsaukumus uz nepareiziem DNS serveriem, kas sniedz nepatiesu informāciju. Problēma izpaužas atrisinātājos, kas darbojas “pārsūtīt vispirms” (noklusējums) vai “tikai pārsūtīt” režīmos, ja kāds no ekspeditoriem ir apdraudēts (no ekspeditora saņemtie NS ieraksti nonāk kešatmiņā un pēc tam var novest pie piekļuves nepareizs DNS serveris, veicot rekursīvus vaicājumus).
- CVE-2022-0396 ir pakalpojuma atteikums (savienojumi uz nenoteiktu laiku karājas stāvoklī CLOSE_WAIT), kas uzsākts, nosūtot īpaši izstrādātas TCP paketes. Problēma parādās tikai tad, ja ir iespējots iestatījums Keep-response-order, kas netiek izmantots pēc noklusējuma, un ja ACL ir norādīta opcija Keep-response-order.
- CVE-2022-0635 — nosauktais process var avarēt, nosūtot serverim noteiktus pieprasījumus. Problēma izpaužas, izmantojot DNSSEC-Validated Cache cache, kas pēc noklusējuma ir iespējota filiālē 9.18 (dnssec-validation un synth-from-dnssec iestatījumi).
- CVE-2022-0667 — Nosauktais process var avarēt, apstrādājot atliktos DS pieprasījumus. Problēma parādās tikai BIND 9.18 filiālē, un to izraisa kļūda, kas pieļauta, pārstrādājot klienta kodu rekursīvai vaicājumu apstrādei.
Avots: opennet.ru