В BIND исправлена критическая уязвимость отказа в обслуживании

image

Теги: уязвимость, исправление

Ошибка позволяла удаленному пользователю аварийно завершить работу компонента named.

Организация Internet Systems Consortium (ISC) во вторник, 15 декабря, объявила о выходе обновленной версии ПО BIND. Обновления исправляют три уязвимости , включая ошибку отказа в обслуживании. Проблема получила рейтинг критической.

Наиболее серьезная уязвимость позволяет осуществить DoS-атаку на серверы, выполняющие рекурсивные запросы. Удаленный пользователь может заставить сервер запросить запись со специально сформированным атрибутом класса и вызвать ошибку в компоненте named. В результате атаки named аварийно завершит работу, вызвав отказ в обслуживании. Уязвимость затрагивает BIND 9.0.x до 9.9.8 и BIND 9.10.0-9.10.3.

Вторая уязвимость существует из-за ошибки состояния операции, возникающей при обработке ошибок сокетов. Проблема может привести к аварийному завершению работы сервера при обработке ошибки в библиотеке «resolver.c».

Разработчики также устранили уязвимость, связанную с использованием устаревшей версии OpenSSL. Ошибка связана с функцией «BN_mod_exp» и приводит к выдаче некорректных результатов на системах x86_64.

BIND (Berkeley Internet Name Domain, до этого: Berkeley Internet Name Daemon) — открытая и наиболее распространённая реализация DNS-сервера, обеспечивающая выполнение преобразования DNS-имени в IP-адрес и наоборот.
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.