В BIND устранена опасная уязвимость CVE-2016-2776

Некоммерческая организация Internet Systems Consortium (ISC), курирующая проект BIND с 2000 года, выпустила патч для уязвимости в DNS-сервере, которую она называет «состояние критической ошибки». В информационном бюллетене, опубликованном в минувший вторник, отмечено, что данная брешь допускает удаленный эксплойт и представляет большую опасность.

Согласно ISC, уязвимость CVE-2016-2776 проявляется в ходе формирования пакетов на NS-сервере с целью отправки ответного сообщения. Некорректность этого процесса может повлечь «отказ подтверждения в buffer.c при составлении ответа на запрос, отвечающий определенным критериям». Такое состояние, по свидетельству ISC, можно вызвать «даже в том случае, если адрес источника межсетевого уровня не уполномочен подавать запросы (к примеру, не соответствует утверждению allow-query)».

Этому багу подвержен ряд сборок BIND: с 9.0.x по 9.8.x, с 9.9.0 по 9.9.9-P2, с 9.9.3-S1 по 9.9.9-S3, с 9.10.0 по 9.10.4-P2 и с 9.11.0a1 по 9.11.0rc1. Пользователям настоятельно рекомендуется обновиться до 9.9.9-P3, 9.10.4-P3, 9.9.9-S5 или 9.11.0rc3. Хотя данные об активном эксплойте отсутствуют, ISC предупреждает, что в группе риска находятся все NS-серверы, принимающие запросы из любого источника.

BIND – наиболее распространенная реализация DNS-сервера в интернете, однако в текущем году это лишь седьмой патч для пользующегося популярностью пакета. Предыдущая уязвимость, связанная с использованием облегченного протокола разрешения имен, позволяла произвести атаку на отказ в обслуживании и была признана умеренно опасной.