BIND DNS 服务器 9.11.37、9.16.27 和 9.18.1 的稳定分支的修正更新已发布,修复了四个漏洞:
- CVE-2021-25220 - 可能将不正确的 NS 记录替换到 DNS 服务器缓存中(缓存中毒),这可能导致调用提供虚假信息的不正确的 DNS 服务器。 如果其中一个转发器受到损害(从转发器接收到的 NS 记录最终会出现在缓存中,然后可能导致对执行递归查询时 DNS 服务器错误)。
- CVE-2022-0396 是通过发送特制的 TCP 数据包发起的拒绝服务(连接无限期地挂起在 CLOSE_WAIT 状态)。 仅当启用 keep-response-order 设置(默认情况下不使用)并且在 ACL 中指定 keep-response-order 选项时,才会出现此问题。
- CVE-2022-0635 - 向服务器发送某些请求时,指定进程可能会崩溃。 当使用 DNSSEC-Validated Cache 缓存时,问题就会显现出来,该缓存在分支 9.18 中默认启用(dnssec-validation 和 Synth-from-dnssec 设置)。
- CVE-2022-0667 – 处理延迟的 DS 请求时,指定进程可能会崩溃。 该问题仅出现在 BIND 9.18 分支中,是由于重写客户端代码以进行递归查询处理时出现的错误造成的。
来源: opennet.ru