Обновление DNS-сервера BIND 9.9.9-P8, 9.10.4-P8 и 9.11.0-P5 с устранением уязвимостей
Консорциум ISC представил новые выпуски DNS-сервера BIND 9.9.9-P8, 9.10.4-P8 и 9.11.0-P5, в которых устранено несколько уязвимостей, позволяющих вызвать отказ в обслуживании, инициировав крах процесса-обработчика через отправку специально оформленного запроса.
- CVE-2017-3138 - завершение работы процесса named при поступлении от управляющего интерфейса пустой команды (локальный злоумышленник, имеющий доступ для выполнения команд только на чтение, может вывести DNS-сервер из строя, запустив rndc "");
- CVE-2017-3137 - отправка цепочки пакетов с некорректным следованием полей CNAME и DNAME, в ответ на рекурсивный запрос резолвера, может привести к краху named.
- CVE-2017-3136 - отправка специально оформленного запроса к серверу, на котором включен DNS64 и активна опция "break-dnssec yes;", может привести к краху процесса-обработчика.
