Các bản cập nhật khắc phục cho các nhánh ổn định của máy chủ BIND DNS 9.11.37, 9.16.27 và 9.18.1 đã được xuất bản, giúp khắc phục bốn lỗ hổng:
- CVE-2021-25220 - khả năng thay thế các bản ghi NS không chính xác vào bộ đệm của máy chủ DNS (ngộ độc bộ đệm), điều này có thể dẫn đến các cuộc gọi đến máy chủ DNS không chính xác cung cấp thông tin sai lệch. Sự cố xuất hiện ở các trình phân giải hoạt động ở chế độ “chuyển tiếp trước” (mặc định) hoặc “chỉ chuyển tiếp”, nếu một trong các trình chuyển tiếp bị xâm phạm (các bản ghi NS nhận được từ trình chuyển tiếp sẽ nằm trong bộ đệm và sau đó có thể dẫn đến quyền truy cập vào máy chủ DNS sai khi thực hiện truy vấn đệ quy).
- CVE-2022-0396 là hành vi từ chối dịch vụ (các kết nối bị treo vô thời hạn ở trạng thái CLOSE_WAIT) được bắt đầu bằng cách gửi các gói TCP được chế tạo đặc biệt. Sự cố chỉ xuất hiện khi cài đặt giữ thứ tự phản hồi được bật, cài đặt này không được sử dụng theo mặc định và khi tùy chọn giữ thứ tự phản hồi được chỉ định trong ACL.
- CVE-2022-0635 - Quá trình được đặt tên có thể gặp sự cố khi gửi một số yêu cầu nhất định đến máy chủ. Sự cố xảy ra khi sử dụng bộ đệm ẩn Bộ nhớ đệm được xác thực DNSSEC, được bật theo mặc định trong nhánh 9.18 (cài đặt xác thực dnssec và tổng hợp từ dnssec).
- CVE-2022-0667 – Quá trình được đặt tên có thể gặp sự cố khi xử lý các yêu cầu DS bị trì hoãn. Sự cố chỉ xuất hiện trong nhánh BIND 9.18 và xảy ra do lỗi xảy ra khi làm lại mã máy khách để xử lý truy vấn đệ quy.
Nguồn: opennet.ru