The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление DNS-сервера BIND 9.11.37, 9.16.27 и 9.18.1 c устранением 4 уязвимостей

19.03.2022 09:20

Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.37, 9.16.27 и 9.18.1, в которых устранены четыре уязвимости:

  • CVE-2021-25220 - возможность подстановки некорректных NS-записей в кэш DNS-сервера (отравление кэша), что может привести к обращению к неверным DNS-серверам, отдающим ложные сведения. Проблема проявляется в резолверах, работающих в режимах "forward first" (по умолчанию) или "forward only", в условии компрометации одного из forwarder-ов (NS-записи, полученные от forwarder-а, оседают в кэше и затем могут привести к обращению не к тому DNS-серверу при выполнении рекурсивных запросов).
  • CVE-2022-0396 - отказ в обслуживании (бесконечное зависание соединений в состоянии CLOSE_WAIT), инициируемый через отправку специально оформленных TCP-пакетов. Проблема проявляется только при включении настройки keep-response-order, которая не используется по умолчанию, а также при указании в ACL опции keep-response-order.
  • CVE-2022-0635 - возможность аварийного завершения процесса named через отправку определённых запросов к серверу. Проблема проявляется при использовании кэша проверенных DNSSEC-запросов (DNSSEC-Validated Cache), который включён по умолчанию в ветке 9.18 (настройки dnssec-validation и synth-from-dnssec).
  • CVE-2022-0667 - возможность аварийного завершения процесса named при обработке отложенных DS-запросов. Проблема проявляется только в ветке BIND 9.18 и вызвана ошибкой, допущенной при переработке клиентского кода для рекурсивной обработки запросов.


  1. Главная ссылка к новости (https://www.mail-archive.com/b...)
  2. OpenNews: Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и DNS-over-HTTPS
  3. OpenNews: Ошибка в BIND 9.16.17, приводящая к неверной обработке символа W в DNS-запросах
  4. OpenNews: Обновление DNS-сервера BIND c устранением уязвимости, допускающей удалённое выполнение кода
  5. OpenNews: Уязвимость в DNS-сервере BIND, не исключающая удалённое выполнение кода
  6. OpenNews: Новый вариант атаки SAD DNS для подстановки фиктивных данных в кэш DNS
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/56879-bind
Ключевые слова: bind, dns
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (2) RSS
  • 1, imho (ok), 08:02, 20/03/2022 [ответить]  
  • +2 +/
    > возможность аварийного завершения процесса named

    ага, сразу после обновления до 1:9.10.3.dfsg.P4-12.3+deb9u11 (stretch) он и начал регулярно падать, не проработав и двух минут после перезапуска ;)))

    хорошо что сегодня оперативно прилетел очередной фикс 1:9.10.3.dfsg.P4-12.3+deb9u12 и всё устаканилось ;)

     
     
  • 2, Аноним (2), 14:48, 21/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    imho Вы провайдер глобальных сетей?
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру