ISC оновлює критичну помилку DoS у програмному забезпеченні BIND DNS

Консорціум Internet Systems (ISC) усунув дві уразливості в програмному забезпеченні системи доменних імен BIND, один з яких називався «критичним станом помилки» в програмному забезпеченні.

BIND - це найчастіше розгорнутий DNS-сервер в Інтернеті, перекладаючи доменні імена в IP-адреси, щоб користувачі могли отримувати доступ до програм і віддалених серверів, не маючи відстеження IP-адрес. BIND - де-факто стандарт для Linux та інших машин на базі Unix; вразливість в програмному забезпеченні впливає на велику кількість серверів та програм.

Останнє оновлення BIND, версії 9.9.9-P3, 9.10.4-P3 та 9.11.0rc3, виправлено помилку відмови в обслуговуванні (CVE-2016-2776), які можуть використовуватися за допомогою спеціально розроблених пакетів запитів DNS. Ця проблема була виявлена ​​ISC внутрішньо і впливає на всі сервери, які можуть отримувати пакети запитів з будь-якого джерела, ISC зазначив у своїй консультації. Вражені версії включають 9.0.x в 9.8.x, 9.9.0 в 9.9.9-P2, 9.9.3-S1 в 9.9.9-S3, 9.10.0 в 9.10.4-P2 і 9.11.0a1 в 9.11.0rc1.

Користувачам рекомендується оновлювати свої установки BIND до "виправленого випуску, найбільш тісно пов'язаного з вашою поточною версією BIND", або версій 9.9.9-P3, 9.10.4-P3 і 9.11.0rc3. Виправлення також у версії 9-S9.9.9, що підтримується BIND 5 Supported Preview.

"Тестування ISC виявило критичний стан помилки, яке може виникнути, коли сервер імен будує відповідь", - сказав ISC, який підтримував BIND з 2000.

Проблема пов'язана з дефектом рендеринга повідомлень в пакети, коли сервер імен будує відповідь. Якщо уразливість експлуатується за допомогою спеціально створених запитів, вона може викликати відмову від твердження в буфері.c, будуючи відповідь на певний тип запиту. Експлойт буде успішним ", навіть якщо видима адреса джерела не дозволяє робити запити (тобто не відповідає" allow-query "."

Ця проблема була відзначена високою оцінкою за шкалою 7.8 на загальній системі оцінки вразливості, оскільки її можна використовувати на віддаленій основі. Довідка Red Hat каже, що атака не вимагає аутентифікації, додаткових привілеїв або взаємодії з користувачем для успішного використання недоліку, тому проблема є особливо небезпечною.

Легко зменшити ступінь серйозності недоліку відмови в обслуговуванні, особливо в порівнянні з ескалацією привілеїв або віддаленим виконанням коду. Однак, оскільки BIND займає центральне місце у впровадженні протоколу DNS в Інтернеті, уразливість, яка може бути використана для збивання систем в автономному режимі, матиме широкий вплив. Спеціально створений запит, який може привести до збою демона сервера імен, не є просто незручністю або незначним спадом. Це може принести частину Інтернету на коліна.

ISC не бачив ніяких доказів того, що хакери знали або вже використовували вразливість, але застерігали, що всі сервери, які можуть отримувати пакети запитів з будь-якого джерела, мають бути оновлені. ISC виправлено помилки в його розподілі, а різні дистрибутиви Linux, такі як Red Hat, вже переводять виправлення для власних реалізацій BIND.

Це оновлення BIND також виправлено a Раніше виявлена ​​середньострокова ДС (CVE-2016-2775) в реалізації BIND протоколу полегшеного резольвера (lwresd). Помилка пов'язана з тим, що сервер може припинити роботу, якщо резольвер намагається вирішити ім'я запиту, який, у поєднанні з списком пошуку, перевищує максимально допустиму довжину.

Сервер, на який впливає цей дефект, завершиться помилкою помилки сегментації, що призведе до відмови в обслуговуванні клієнтським програмам, які намагаються вирішити імена », - сказано в повідомленні ISC.

Уразливість також є "неприємною" для вбудованих пристроїв, що працюють під керуванням BIND, оскільки виправлення включає фіксацію BIND та оновлення всіх пристроїв за допомогою вбудованого програмного забезпечення. "Ми знову побачимо, що організації намагаються визначити, чи використовують вони цей компонент, і де", - сказав Майк Піттенгер, віце-президент з стратегії безпеки в Black Duck Software.

джерело

залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.