Er zijn corrigerende updates voor de stabiele takken van de BIND DNS-server 9.11.37, 9.16.27 en 9.18.1 gepubliceerd, die vier kwetsbaarheden verhelpen:
- CVE-2021-25220 - de mogelijkheid om onjuiste NS-records te vervangen in de DNS-servercache (cachevergiftiging), wat kan leiden tot oproepen naar onjuiste DNS-servers die valse informatie verstrekken. Het probleem manifesteert zich bij oplossers die in de ‘forward first’- (standaard) of ‘forward only’-modus werken, als een van de forwarders wordt gecompromitteerd (NS-records ontvangen van de forwarder komen in de cache terecht en kunnen vervolgens leiden tot toegang tot de forwarder). verkeerde DNS-server bij het uitvoeren van recursieve queries).
- CVE-2022-0396 is een Denial of Service (verbindingen hangen voor onbepaalde tijd in de CLOSE_WAIT-status) die wordt geïnitieerd door het verzenden van speciaal vervaardigde TCP-pakketten. Het probleem doet zich alleen voor als de instelling keep-response-order is ingeschakeld, die niet standaard wordt gebruikt, en als de optie keep-response-order is opgegeven in de ACL.
- CVE-2022-0635 - het genoemde proces kan crashen bij het verzenden van bepaalde verzoeken naar de server. Het probleem manifesteert zich bij het gebruik van de DNSSEC-Validated Cache cache, die standaard is ingeschakeld in branch 9.18 (dnssec-validatie en synth-from-dnssec instellingen).
- CVE-2022-0667 – Het is mogelijk dat het benoemde proces crasht bij het verwerken van uitgestelde DS-aanvragen. Het probleem komt alleen voor in de BIND 9.18-branch en wordt veroorzaakt door een fout die is gemaakt bij het herwerken van de clientcode voor recursieve queryverwerking.
Bron: opennet.ru