Atualizações corretivas nas ramificações estáveis do servidor DNS BIND 9.11.22 e 9.16.6, bem como na ramificação experimental 9.17.4, que está em desenvolvimento. 5 vulnerabilidades são corrigidas em novas versões. A vulnerabilidade mais perigosa () Causar remotamente uma negação de serviço enviando um conjunto específico de pacotes para uma porta TCP que aceita conexões BIND. Envio de solicitações AXFR anormalmente grandes para uma porta TCP, ao fato de que a biblioteca libuv que atende a conexão TCP transmitirá o tamanho ao servidor, resultando no acionamento da verificação de asserção e no encerramento do processo.
Outras vulnerabilidades:
- — um invasor pode acionar uma verificação de asserção e travar o resolvedor ao tentar minimizar o QNAME após redirecionar uma solicitação. O problema só aparece em servidores com minificação QNAME habilitada e rodando no modo ‘forward first’.
- — o invasor pode iniciar uma verificação de afirmação e um encerramento emergencial do fluxo de trabalho se o servidor DNS do invasor retornar respostas incorretas com a assinatura TSIG em resposta a uma solicitação do servidor DNS da vítima.
- — um invasor pode acionar a verificação de asserção e o encerramento emergencial do manipulador enviando solicitações de zona especialmente projetadas e assinadas com uma chave RSA. O problema só aparece ao construir o servidor com a opção “-enable-native-pkcs11”.
- — um invasor que tenha autoridade para alterar o conteúdo de determinados campos em zonas DNS pode obter privilégios adicionais para alterar outros conteúdos da zona DNS.
Fonte: opennet.ru