BIND DNS sunucusu 9.11.37, 9.16.27 ve 9.18.1'in kararlı dallarına yönelik, dört güvenlik açığını gideren düzeltici güncellemeler yayımlandı:
- CVE-2021-25220 - Yanlış NS kayıtlarını DNS sunucusu önbelleğine yerleştirme (önbellek zehirlenmesi) olasılığı, bu da yanlış bilgi sağlayan yanlış DNS sunucularına çağrı yapılmasına neden olabilir. Sorun, ileticilerden birinin güvenliği ihlal edildiğinde "önce ilet" (varsayılan) veya "yalnızca ilet" modlarında çalışan çözümleyicilerde kendini gösterir (ileticiden alınan NS kayıtları önbelleğe alınır ve daha sonra özyinelemeli sorgular gerçekleştirirken yanlış DNS sunucusu).
- CVE-2022-0396, özel hazırlanmış TCP paketleri gönderilerek başlatılan bir hizmet reddidir (bağlantılar CLOSE_WAIT durumunda süresiz olarak askıda kalır). Sorun yalnızca, varsayılan olarak kullanılmayan, yanıt sırasını koru ayarı etkinleştirildiğinde ve yanıt sırasını koru seçeneği ACL'de belirtildiğinde ortaya çıkar.
- CVE-2022-0635 - Belirli istekler gönderilerek adı geçen işlemin çökme olasılığı sunucuSorun, 9.18 dalında varsayılan olarak etkinleştirilmiş olan DNSSEC Doğrulama Önbelleği kullanılırken ortaya çıkar (dnssec-validation ve synth-from-dnssec ayarları).
- CVE-2022-0667 – Ertelenen DS isteklerini işlerken adı geçen işlemin çökmesi mümkündür. Sorun yalnızca BIND 9.18 dalında görünüyor ve özyinelemeli sorgu işleme için istemci kodunun yeniden işlenmesi sırasında yapılan bir hatadan kaynaklanıyor.
Kaynak: opennet.ru
