Новая уязвимость в BIND, чреватая крэшем

Консорциум разработчиков программного обеспечения для Интернета (Internet Systems Consortium, ISC) выпустил патч для высокоопасной уязвимости в популярной реализации DNS-сервера BIND. Согласно информационному бюллетеню, данная брешь допускает удаленный эксплойт и позволяет аварийно завершить работу сервера.

Уязвимости подвержены серверы, настройки которых предполагают одновременное использование DNS64 и RPZ. Функция DNS64 позволяет создавать ресурсные записи AAAA, аналогичные A, но для IPv6. Механизм RPZ рекурсивные серверы используют для проверки репутации разрешаемых доменных имен и кастомизации отклика на запросы.

Согласно ISC, уязвимыми являются BIND версий 9.8.8, с 9.9.3-S1 по 9.9.9-S7, с 9.9.3 по 9.9.9-P5; 9.9.10b1, с 9.10.0 по 9.10.4-P5; 9.10.5b1, с 9.11.0 по 9.11.0-P2, а также 9.11.1b.

Уязвимость CVE-2017-3135 связана с обработкой запросов и при одновременном использовании DNS64 и RPZ влечет неопределенное состояние, результатом которого может стать ошибка утверждения INSIST и аварийное завершение демона или попытка чтения по указателю NULL. В последнем случае на большинстве платформ это грозит ошибкой сегментации и завершением процесса.

Пользователям рекомендуется произвести обновление в зависимости от используемой версии BIND — до 9.9.9-P6, 9.10.4-P6, 9.11.0-P3 или 9.9.9-S8. В качестве альтернативы можно удалить DNS64 или RPZ из настроек, однако патч, по мнению ISC, будет самой надежной защитой.

Уязвимость обнаружили исследователи из калифорнийской компании Infoblox, специализирующейся на организации управления сетями и защите ключевых сервисов — DNS, DHCP, IPAM.

Это уже пятая уязвимость, закрытая в BIND в новом году. В январе ISC выпустил патчи для четырех багов высокой степени опасности, позволяющих вызвать ошибку утверждения INSIST и, как следствие, отказ в обслуживании.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *