В BIND исправлена критическая уязвимость отказа в обслуживании

В BIND исправлена критическая уязвимость отказа в обслуживании

Ошибка позволяла удаленному пользователю аварийно завершить работу компонента named.

Организация Internet Systems Consortium (ISC) во вторник, 15 декабря, объявила о выходе обновленной версии ПО BIND. Обновления исправляют три уязвимости , включая ошибку отказа в обслуживании. Проблема получила рейтинг критической.

Наиболее серьезная уязвимость позволяет осуществить DoS-атаку на серверы, выполняющие рекурсивные запросы. Удаленный пользователь может заставить сервер запросить запись со специально сформированным атрибутом класса и вызвать ошибку в компоненте named. В результате атаки named аварийно завершит работу, вызвав отказ в обслуживании. Уязвимость затрагивает BIND 9.0.x до 9.9.8 и BIND 9.10.0-9.10.3.

Вторая уязвимость существует из-за ошибки состояния операции, возникающей при обработке ошибок сокетов. Проблема может привести к аварийному завершению работы сервера при обработке ошибки в библиотеке «resolver.c».

Разработчики также устранили уязвимость, связанную с использованием устаревшей версии OpenSSL. Ошибка связана с функцией «BN_mod_exp» и приводит к выдаче некорректных результатов на системах x86_64.

BIND (Berkeley Internet Name Domain, до этого: Berkeley Internet Name Daemon) — открытая и наиболее распространённая реализация DNS-сервера, обеспечивающая выполнение преобразования DNS-имени в IP-адрес и наоборот.

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!