Opravné aktualizácie stabilných vetiev servera BIND DNS 9.11.22 a 9.16.6, ako aj experimentálnej vetvy 9.17.4, ktorá je vo vývoji. V nových vydaniach je opravených 5 zraniteľností. Najnebezpečnejšia zraniteľnosť () Vzdialene spôsobiť odmietnutie služby odoslaním špecifickej sady paketov na port TCP, ktorý akceptuje spojenia BIND. odosielanie abnormálne veľkých požiadaviek AXFR na port TCP, na skutočnosť, že knižnica libuv obsluhujúca pripojenie TCP odošle veľkosť na server, čo má za následok spustenie kontroly tvrdenia a ukončenie procesu.
Ďalšie zraniteľnosti:
- — Útočník môže spustiť kontrolu tvrdenia a zlyhať prekladač pri pokuse o minimalizáciu QNAME po presmerovaní požiadavky. Problém sa vyskytuje iba na serveroch s povolenou minifikáciou QNAME a spusteným v režime „najskôr dopredu“.
- — Útočník môže iniciovať kontrolu tvrdenia a núdzové ukončenie pracovného toku, ak útočníkov server DNS vráti nesprávne odpovede s podpisom TSIG ako odpoveď na požiadavku servera DNS obete.
- — Útočník môže spustiť kontrolu tvrdenia a núdzové ukončenie obsluhy odoslaním špeciálne navrhnutých zónových požiadaviek podpísaných kľúčom RSA. Problém sa objaví iba pri zostavovaní servera s voľbou „-enable-native-pkcs11“.
- — Útočník, ktorý má oprávnenie meniť obsah určitých polí v zónach DNS, môže získať ďalšie oprávnenia na zmenu iného obsahu zóny DNS.
Zdroj: opennet.ru