Создатели наиболее широко используемого в интернете ПО для разрешения
доменных имен закрыли уязвимость, позволяющую злоумышленникам подвешивать
системы, на которых работает программа.

Делая запрос домена с большим набором resource record sets (RRsets) с
попыткой негативного кеширования, злоумышленники могут спровоцировать падение
сервера Bind. Уязвимость denial-of-service угрожает системам, которые используют
различные версии Bind 9 в качестве кэшируемого ресолвера. DNS-системы используют
негативное кэширование для улучшения времени трансляции имени в адрес путем
предотвращения многочисленных запросов серверами не существующих доменов.

"В данной уязвимости очень большие RRSIG RRsets, включенные в отрицательный
ответ, могут вызвать отказ утверждения (assertion failure), который приводит к
краху Bind 9 DNS в результате ошибки off-by-one при проверке размера буфера", —
гласит информационный бюллетень, опубликованный Internet Systems Consortium,
группой, которая поддерживает Bind.

Информационный бюллетень призывает пользователей обновиться до версий Bind
9.4-ESV-R4-P1, 9.6-ESV-R4-P1, 9.7.3-P1 или 9.8.0-P2, которые доступны
здесь.

В качестве временного решения пользователи могут наложить ограничения на
систему кеширования резолвера DNS.

"Активная эксплуатация может быть достигнута через действие вредоносных
программ и спама, которые вынудят официальных клиентов искать домены, которые
проэксплуатируют эту уязвимость", — предупреждает информационный бюллетень.

Оставить мнение