Korrigerande uppdateringar av de stabila grenarna av BIND DNS-servern 9.11.22 och 9.16.6, samt den experimentella grenen 9.17.4, som är under utveckling. 5 sårbarheter är åtgärdade i nya versioner. Den farligaste sårbarheten () Fjärrorsaka en denial of service genom att skicka en specifik uppsättning paket till en TCP-port som accepterar BIND-anslutningar. Skickar onormalt stora AXFR-förfrågningar till en TCP-port, till det faktum att libuv-biblioteket som betjänar TCP-anslutningen kommer att överföra storleken till servern, vilket resulterar i att påståendekontrollen utlöses och processen avslutas.
Andra sårbarheter:
- — en angripare kan utlösa en påståendekontroll och krascha resolvern när han försöker minimera QNAME efter att ha omdirigerat en begäran. Problemet dyker bara upp på servrar med QNAME-minifiering aktiverad och körs i läget "framåt först".
- — angriparen kan initiera en påståendekontroll och en nödstopp av arbetsflödet om angriparens DNS-server returnerar felaktiga svar med TSIG-signaturen som svar på en begäran från offrets DNS-server.
- — en angripare kan utlösa påståendekontroll och nödstopp av hanteraren genom att skicka specialdesignade zonförfrågningar signerade med en RSA-nyckel. Problemet uppstår bara när du bygger servern med alternativet "-enable-native-pkcs11".
- — en angripare som har behörighet att ändra innehållet i vissa fält i DNS-zoner kan få ytterligare privilegier att ändra annat innehåll i DNS-zonen.
Källa: opennet.ru