BIND DNS serverining 9.11.22 va 9.16.6 barqaror filiallari, shuningdek, ishlab chiqilayotgan 9.17.4 eksperimental filiallari uchun tuzatuvchi yangilanishlar. Yangi versiyalarda 5 ta zaiflik tuzatildi. Eng xavfli zaiflik () BIND ulanishlarini qabul qiluvchi TCP portiga ma'lum paketlar to'plamini yuborish orqali masofadan turib xizmat ko'rsatishni rad etishga sabab bo'ling. TCP portiga g'ayritabiiy darajada katta AXFR so'rovlarini yuborish, TCP ulanishiga xizmat ko'rsatadigan libuv kutubxonasi serverga o'lchamni uzatadi, natijada tasdiqlash tekshiruvi ishga tushadi va jarayon tugaydi.
Boshqa zaifliklar:
- — tajovuzkor soʻrovni qayta yoʻnaltirgandan soʻng QNAME ni minimallashtirishga urinayotganda tasdiqlash tekshiruvini ishga tushirishi va hal qiluvchini buzishi mumkin. Muammo faqat QNAME minilashtirish yoqilgan va “birinchi navbatda oldinga” rejimida ishlaydigan serverlarda paydo bo‘ladi.
- — agar tajovuzkorning DNS serveri jabrlanuvchining DNS serveri soʻroviga javoban TSIG imzosi bilan notoʻgʻri javoblarni qaytarsa, tajovuzkor tasdiqlashni tekshirish va ish jarayonini favqulodda toʻxtatishni boshlashi mumkin.
- — tajovuzkor RSA kaliti bilan imzolangan maxsus moʻljallangan zona soʻrovlarini yuborish orqali tasdiqlashni tekshirish va ishlov beruvchini favqulodda toʻxtatishni boshlashi mumkin. Muammo faqat serverni "-enable-native-pkcs11" opsiyasi bilan qurishda paydo bo'ladi.
- — DNS zonalaridagi maʼlum maydonlar tarkibini oʻzgartirish huquqiga ega boʻlgan tajovuzkor DNS zonasining boshqa mazmunini oʻzgartirish uchun qoʻshimcha imtiyozlarga ega boʻlishi mumkin.
Manba: opennet.ru