Опубліковано коригуючі оновлення стабільних гілок DNS-сервера BIND 9.11.37, 9.16.27 та 9.18.1, у яких усунуто чотири вразливості:
- CVE-2021-25220 — можливість підстановки некоректних NS-записів у кеш DNS-сервера (отруєння кешу), що може призвести до звернення до невірних DNS-серверів, які дають неправдиві відомості. Проблема проявляється в резолверах, що працюють у режимах «forward first» (за замовчуванням) або «forward only», за умови компрометації одного з forwarder-ів (NS-записи, отримані від forwarder-а, осідають у кеші і можуть призвести до звернення не до того DNS-серверу при виконанні рекурсивних запитів).
- CVE-2022-0396 - відмова в обслуговуванні (нескінченне зависання з'єднань у стані CLOSE_WAIT), що ініціюється через відправлення спеціально оформлених TCP-пакетів. Проблема проявляється тільки при включенні налаштування keep-response-order, яка не використовується за умовчанням, а також при вказівці ACL опції keep-response-order.
- CVE-2022-0635 – можливість аварійного завершення процесу named через відправлення певних запитів до сервера. Проблема проявляється при використанні кешу перевірених DNSSEC-запитів (DNSSEC-Validated Cache), який включений за замовчуванням у гілці 9.18 (налаштування dnssec-validation та synth-from-dnssec).
- CVE-2022-0667 – можливість аварійного завершення процесу named при обробці відкладених DS-запитів. Проблема проявляється лише у гілці BIND 9.18 та викликана помилкою, допущеною під час переробки клієнтського коду для рекурсивної обробки запитів.
Джерело: opennet.ru