В BIND исправлены две уязвимости

image

Теги: BIND, уязвимость, обновление

Уязвимости позволяли удаленному атакующему вызвать отказ в обслуживании.

В популярной открытой реализации DNS-сервера BIND исправлены две уязвимости, позволявшие удаленно вызвать отказ в обслуживании. Обе проблемы представляют среднюю угрозу безопасности.

С помощью первой уязвимости (CVE-2018-5737) удаленный атакующий может вызвать операционные ошибки, в том числе отказ в обслуживании. Проблема затрагивает версии BIND 9.12.0 и 9.12.1, если конфигурация сервера позволяет отправлять рекурсивные запросы клиентам, а значение параметра max-stale-ttl отличное от ноля. Уязвимость исправлена в версии BIND 9.12.1-P2.

Вторую уязвимость (CVE-2018-5736) также можно проэксплуатировать удаленно, но только в случае, если злоумышленник сможет вызвать передачу зоны DNS. Проблема затрагивает версии BIND 9.12.0 и 9.12.1, и была исправлена в версии 9.12.1-P1. Тем не менее, пользователям необходимо установить обновление 9.12.1-P2, так как версия 9.12.1-P1 еще до анонса была отозвана в связи с обнаруженным дефектом.

Передача зоны DNS – вид транзакции DNS. Является одним из механизмов репликации баз DNS между серверами.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus