Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.37, 9.16.27 и 9.18.1, в которых устранены четыре уязвимости:
- CVE-2021-25220 – возможность подстановки некорректных NS-записей в кэш DNS-сервера (отравление кэша), что может привести к обращению к неверным DNS-серверам, отдающим ложные сведения. Проблема проявляется в резолверах, работающих в режимах “forward first” (по умолчанию) или “forward only”, в условии компрометации одного из forwarder-ов (NS-записи, полученные от forwarder-а, оседают в кэше и затем могут привести к обращению не к тому DNS-серверу при выполнении рекурсивных запросов).
- CVE-2022-0396 – отказ в обслуживании (бесконечное зависание соединений в состоянии CLOSE_WAIT), инициируемый через отправку специально оформленных TCP-пакетов. Проблема проявляется только при включении настройки keep-response-order, которая не используется по умолчанию, а также при указании в ACL опции keep-response-order.
- CVE-2022-0635 – возможность аварийного завершения процесса named через отправку определённых запросов к серверу. Проблема проявляется при использовании кэша проверенных DNSSEC-запросов (DNSSEC-Validated Cache), который включён по умолчанию в ветке 9.18 (настройки dnssec-validation и synth-from-dnssec).
- CVE-2022-0667 – возможность аварийного завершения процесса named при обработке отложенных DS-запросов. Проблема проявляется только в ветке BIND 9.18 и вызвана ошибкой, допущенной при переработке клиентского кода для рекурсивной обработки запросов.
Release.
Ссылка here.