Boli publikované opravné aktualizácie pre stabilné vetvy DNS servera BIND 9.11.37, 9.16.27 a 9.18.1, ktoré opravujú štyri zraniteľnosti:
- CVE-2021-25220 – existuje zraniteľnosť, pri ktorej sa do vyrovnávacej pamäte DNS servera môžu vložiť nesprávne NS záznamy (otrava vyrovnávacej pamäte), čo môže viesť k požiadavkám na nesprávne DNS servery, ktoré vracajú nepravdivé informácie. Tento problém ovplyvňuje prekladače pracujúce v režimoch „najprv preposielať“ (predvolené) alebo „iba preposielať“, keď je jeden z preposielačov napadnutý. NS záznamy prijaté z preposielača zostávajú vo vyrovnávacej pamäti a potom môžu viesť k požiadavkám na nesprávny DNS server pri vykonávaní rekurzívnych dotazov.
- CVE-2022-0396 – Zraniteľnosť typu odmietnutie služby (nekonečné zaseknutie pripojenia v stave CLOSE_WAIT) spustená odosielaním špeciálne vytvorených TCP paketov. Problém sa prejavuje iba vtedy, keď je povolené nastavenie keep-response-order, ktoré sa štandardne nepoužíva, a keď je v ACL uvedená možnosť keep-response-order.
- CVE-2022-0635 – Možnosť zlyhania pomenovaného procesu odoslaním určitých požiadaviek do serverProblém sa vyskytuje pri použití vyrovnávacej pamäte overenej DNSSEC, ktorá je štandardne povolená vo verzii 9.18 (nastavenia dnssec-validation a synth-from-dnssec).
- CVE-2022-0667 – Možné zlyhanie uvedeného procesu pri spracovaní oneskorených dotazov DS. Problém sa týka iba verzie BIND 9.18 a je spôsobený chybou v refaktoringu klientskeho kódu pre rekurzívne spracovanie dotazov.
Zdroj: opennet.ru
