Korrigerende oppdateringer til de stabile grenene til BIND DNS-serveren 9.11.37, 9.16.27 og 9.18.1 har blitt publisert, som fikser fire sårbarheter:
- CVE-2021-25220 - muligheten for å erstatte feil NS-poster i DNS-serverbufferen (cache-forgiftning), noe som kan føre til anrop til feil DNS-servere som gir falsk informasjon. Problemet manifesterer seg i løsere som opererer i «forward first» (standard) eller «forward only»-modus, hvis en av speditørene er kompromittert (NS-poster mottatt fra speditøren havner i hurtigbufferen og kan da føre til tilgang til feil DNS-server når du utfører rekursive spørringer).
- CVE-2022-0396 er en tjenestenekt (tilkoblinger henger på ubestemt tid i CLOSE_WAIT-tilstanden) initiert ved å sende spesiallagde TCP-pakker. Problemet vises bare når behold-svar-ordre-innstillingen er aktivert, som ikke brukes som standard, og når alternativet behold-svar-ordre er spesifisert i tilgangskontrollisten.
- CVE-2022-0635 - den navngitte prosessen kan krasje når du sender visse forespørsler til serveren. Problemet manifesterer seg når du bruker DNSSEC-Validated Cache cache, som er aktivert som standard i gren 9.18 (dnssec-validering og synth-from-dnssec-innstillinger).
- CVE-2022-0667 – Det er mulig for den navngitte prosessen å krasje ved behandling av utsatte DS-forespørsler. Problemet vises bare i BIND 9.18-grenen og er forårsaket av en feil som ble gjort ved omarbeiding av klientkoden for rekursiv spørringsbehandling.
Kilde: opennet.ru