Objavljene so bile popravne posodobitve stabilnih vej strežnika BIND DNS 9.11.37, 9.16.27 in 9.18.1, ki odpravljajo štiri ranljivosti:
- CVE-2021-25220 - možnost zamenjave napačnih NS zapisov v predpomnilnik DNS strežnika (zastrupitev predpomnilnika), kar lahko privede do klicev napačnih DNS strežnikov, ki dajejo lažne podatke. Težava se kaže v razreševalcih, ki delujejo v načinu »najprej naprej« (privzeto) ali »samo naprej«, če je eden od posredovalcev ogrožen (zapisi NS, prejeti od posredovalnika, končajo v predpomnilniku in lahko nato vodijo do dostopa do napačen strežnik DNS pri izvajanju rekurzivnih poizvedb).
- CVE-2022-0396 je zavrnitev storitve (povezave visijo za nedoločen čas v stanju CLOSE_WAIT), ki se sproži s pošiljanjem posebej oblikovanih paketov TCP. Težava se pojavi le, ko je omogočena nastavitev zaporedja ohranjanja odziva, ki ni privzeto uporabljena, in ko je v ACL podana možnost zaporedja zadrževanja odziva.
- CVE-2022-0635 - imenovani proces se lahko zruši pri pošiljanju določenih zahtev strežniku. Težava se pokaže pri uporabi predpomnilnika predpomnilnika, preverjenega DNSSEC, ki je privzeto omogočen v veji 9.18 (nastavitve preverjanja dnssec in synth-from-dnssec).
- CVE-2022-0667 – Možno je, da se imenovani proces zruši pri obdelavi odloženih zahtev DS. Težava se pojavi samo v veji BIND 9.18 in je posledica napake pri preoblikovanju odjemalske kode za rekurzivno obdelavo poizvedb.
Vir: opennet.ru