Уязвимость присутствует в утилите dnskeygen в Bind версии 8, и dnssec-keygen входящей в 9 версию. Ключи защищенных зон, генерируемые этими утилитами,
хранятся в двух файлах. В случае HMAC-MD5, секретные ключи, использующиеся для динамического обновления DNS сервера, присутствуют в обоих файлах, но только один из этих файлов изначально сконфигурирован с "сильным" контролем доступа (strong access control). В результате чего локальные пользователи могут получить неавторизованный доступ к этим ключам. Это может позволить нападающему изменить конфигурацию DNS сервера, который поддерживает динамическое обновление.
Уязвимость работает на версиях dnskeygen вплоть до BIND 8.2.4 и на dnssec-keygen до 9.1.2 и при использовании ключа HMAC-MD5. При использовании статических файлов зоны DNS уязвимость не работает.
Для устранения поставьте BIND версии 9.1.3rc1.
