BIND DNS sunucusu 9.11.37, 9.16.27 ve 9.18.1'in kararlı dallarına yönelik, dört güvenlik açığını gideren düzeltici güncellemeler yayımlandı:
- CVE-2021-25220 - Yanlış NS kayıtlarını DNS sunucusu önbelleğine yerleştirme (önbellek zehirlenmesi) olasılığı, bu da yanlış bilgi sağlayan yanlış DNS sunucularına çağrı yapılmasına neden olabilir. Sorun, ileticilerden birinin güvenliği ihlal edildiğinde "önce ilet" (varsayılan) veya "yalnızca ilet" modlarında çalışan çözümleyicilerde kendini gösterir (ileticiden alınan NS kayıtları önbelleğe alınır ve daha sonra özyinelemeli sorgular gerçekleştirirken yanlış DNS sunucusu).
- CVE-2022-0396, özel hazırlanmış TCP paketleri gönderilerek başlatılan bir hizmet reddidir (bağlantılar CLOSE_WAIT durumunda süresiz olarak askıda kalır). Sorun yalnızca, varsayılan olarak kullanılmayan, yanıt sırasını koru ayarı etkinleştirildiğinde ve yanıt sırasını koru seçeneği ACL'de belirtildiğinde ortaya çıkar.
- CVE-2022-0635 - Adlandırılmış işlem, sunucuya belirli istekler gönderilirken çökebilir. Sorun, 9.18 şubesinde (dnssec doğrulama ve dnssec'den sentezleme ayarları) varsayılan olarak etkinleştirilen DNSSEC Doğrulamalı Önbellek önbelleği kullanıldığında ortaya çıkar.
- CVE-2022-0667 – Ertelenen DS isteklerini işlerken adı geçen işlemin çökmesi mümkündür. Sorun yalnızca BIND 9.18 dalında görünüyor ve özyinelemeli sorgu işleme için istemci kodunun yeniden işlenmesi sırasında yapılan bir hatadan kaynaklanıyor.
Kaynak: opennet.ru