Corrigerende updates voor de stabiele takken van de BIND DNS-server 9.11.22 en 9.16.6, evenals de experimentele tak 9.17.4, die in ontwikkeling is. Er zijn 5 kwetsbaarheden opgelost in nieuwe releases. De gevaarlijkste kwetsbaarheid () Veroorzaak op afstand een Denial of Service door een specifieke set pakketten naar een TCP-poort te sturen die BIND-verbindingen accepteert. Het verzenden van abnormaal grote AXFR-verzoeken naar een TCP-poort, aan het feit dat de libuv-bibliotheek die de TCP-verbinding bedient de grootte naar de server zal verzenden, wat ertoe leidt dat de beweringscontrole wordt geactiveerd en het proces eindigt.
Andere kwetsbaarheden:
- — een aanvaller kan een beweringscontrole activeren en de oplosser laten crashen wanneer hij probeert QNAME te minimaliseren na het omleiden van een verzoek. Het probleem doet zich alleen voor op servers waarop QNAME-minificatie is ingeschakeld en die in de 'forward first'-modus draaien.
- — de aanvaller kan een beweringscontrole en een noodbeëindiging van de workflow initiëren als de DNS-server van de aanvaller onjuiste antwoorden met de TSIG-handtekening retourneert als reactie op een verzoek van de DNS-server van het slachtoffer.
- — een aanvaller kan de beweringscontrole en de noodbeëindiging van de handler activeren door speciaal ontworpen zoneverzoeken te verzenden, ondertekend met een RSA-sleutel. Het probleem doet zich alleen voor bij het bouwen van de server met de optie “-enable-native-pkcs11”.
- — een aanvaller die de bevoegdheid heeft om de inhoud van bepaalde velden in DNS-zones te wijzigen, kan extra rechten krijgen om andere inhoud van de DNS-zone te wijzigen.
Bron: opennet.ru