В BIND исправлена критическая уязвимость отказа в обслуживании

Организация Internet Systems Consortium (ISC) во вторник, 15 декабря, объявила о выходе обновленной версии ПО BIND. Обновления исправляют три уязвимости, включая ошибку отказа в обслуживании. Проблема получила рейтинг критической.

Наиболее серьезная уязвимость позволяет осуществить DoS-атаку на серверы, выполняющие рекурсивные запросы. Удаленный пользователь может заставить сервер запросить запись со специально сформированным атрибутом класса и вызвать ошибку в компоненте named. В результате атаки named аварийно завершит работу, вызвав отказ в обслуживании. Уязвимость затрагивает BIND 9.0.x до 9.9.8 и BIND 9.10.0-9.10.3.

Вторая уязвимость существует из-за ошибки состояния операции, возникающей при обработке ошибок сокетов. Проблема может привести к аварийному завершению работы сервера при обработке ошибки в библиотеке «resolver.c».

Разработчики также устранили уязвимость, связанную с использованием устаревшей версии OpenSSL. Ошибка связана с функцией «BN_mod_exp» и приводит к выдаче некорректных результатов на системах x86_64.