Bind – самое распространенное решение для преобразования DNS-имен в IP-адреса (и наоборот). Некоммерческая организация Internet Systems Consortium (ISC) сообщила, что практически все актуальные версии Bind содержат критическую уязвимость, при помощи которой даже хакер-одиночка способен выполнить мощнейшие DoS-атаки и причинить много вреда.
Уязвимость затрагивает Bind версий 9.1.0 до 9.8.x, 9.9.0 до 9.9.7-P1 и 9.10.0 до 9.10.2-P2. Баг CVE-2015-5477 связан с некорректной обработкой записей TKEY. Атакующий может отправить на уязвимый сервер сконфигурированные определенным образом пакеты, вызвав ошибку утверждения REQUIRE, что приведет к «падению» сервера.
Уязвимость была признана критической, так как затрагивает все Bind серверы, а не только сконфигурированные определенным образом.
Информации о том, что уязвимость уже эксплуатируется, пока нет, но данные о баге не раскрывались до тех пор, пока не появился патч.
Специалисты ISC сообщают, что обходных путей защиты от бага нет, единственный способ – пропатчить серверы. Фильтрация вредоносных пакетов файрволом, по словам экспертов: «скорее всего, будет очень сложна или даже невозможна», так как девайс может вообще не понимать DNS на уровне протокола, и «все равно будет крайне проблематична», даже если такое понимание есть.
Ранее на этой неделе эксперт Роб Грэм (Rob Graham) из пентестинговой компании Errata Security, произвел небольшой аудио кода Bind и пришел к не слишком обнадеживающим выводам:
У BIND9 множество проблем, которых софт, отвечающий за важнейшую инфраструктуру, просто не может себе позволить. Я считаю, что код BIND9 вообще не стоит показывать публике. В коде есть проблемы, которые просто неприемлемы в наши дни, в эпоху кибербезопасности. Даже будь код написан идеально, в нем слишком много компонентов, чтобы он вызывал доверие».
Фото: m0php@flickr