Kemas kini pembetulan kepada cawangan stabil pelayan DNS BIND 9.11.37, 9.16.27 dan 9.18.1 telah diterbitkan, yang membetulkan empat kelemahan:
- CVE-2021-25220 - kemungkinan menggantikan rekod NS yang salah ke dalam cache pelayan DNS (keracunan cache), yang boleh menyebabkan panggilan ke pelayan DNS yang salah yang memberikan maklumat palsu. Masalahnya nyata dalam penyelesai yang beroperasi dalam mod "majukan dahulu" (lalai) atau "majukan sahaja", apabila salah satu penghantar dikompromi (rekod NS yang diterima daripada penghantar berakhir dalam cache dan kemudiannya boleh membawa kepada akses kepada pelayan DNS yang salah semasa melakukan pertanyaan rekursif).
- CVE-2022-0396 ialah penafian perkhidmatan (sambungan digantung selama-lamanya dalam keadaan CLOSE_WAIT) yang dimulakan dengan menghantar paket TCP yang dibuat khas. Masalah hanya muncul apabila tetapan keep-respons-order didayakan, yang tidak digunakan secara lalai, dan apabila pilihan keep-respons-order ditentukan dalam ACL.
- CVE-2022-0635 - proses yang dinamakan boleh ranap apabila menghantar permintaan tertentu kepada pelayan. Masalah berlaku apabila menggunakan cache DNSSEC-Validated Cache, yang didayakan secara lalai dalam cawangan 9.18 (tetapan dnssec-validation dan synth-from-dnssec).
- CVE-2022-0667 β Proses yang dinamakan mungkin ranap apabila memproses permintaan DS tertunda. Masalahnya hanya muncul di cawangan BIND 9.18 dan disebabkan oleh kesilapan yang dibuat semasa mengolah semula kod klien untuk pemprosesan pertanyaan rekursif.
Sumber: opennet.ru