Создатели Bind предупредили о наличии бреши в ряде версий своего DNS-сервера.
Дыра позволяет атакующим заставлять серверы выдавать неавторизованные
результаты.
Баг проявляет себя только в том случае, если сервер, принимающий рекурсивные
DNS-запросы, работает с технологией DNSSEC (она вводит в DNS криптографические
механизмы подтверждения подлинности адресной информации).
В руководстве,
опубликованном поддерживающим Bind консорциумом Internet Systems Consortium (ISC),
указано, что прием рекурсивных запросов и поддержка DNSSEC редко идут рука об
руку, поэтому уязвимость нельзя назвать широко распространенной.
Однако, если сервер все же сконфигурирован именно таким образом, он
подвергается риску атаки, которая может быть инициирована удаленно. “Такой
сервер может некорректно добавлять в кэш записи из дополнительных разделов
откликов, полученных в ходе обработки рекурсивного клиентского запроса”, - пишут
специалисты ISC.
Необходимо отметить, что Bind – это самый широко распространенный в сети
Интернет DNS-сервер, используемый для преобразования доменных имен в IP-адреса.
Поэтому всем администраторам рекомендовано обновить Bind до версий 9.4.3-P4,
9.5.2-P1 или 9.6.1-P2. Заплаток для версий 9.0.- 9.3 не предусмотрено. В случае,
если возможности быстро провести обновление нет, необходимо запретить
рекурсивные запросы.