Flere sårbarheder i BIND 9

Af Henrik Jensen, 14/02/24

Patches til kritiske sårbarheder i BIND tilgængelige.

Internet Systems Consortium (ISC) har konstateret sårbarheder, der påvirker flere versioner af ISC's Berkeley Internet Name Domain (BIND) 9. En ondsindet aktør kan udnytte en af disse sårbarheder til at forårsage en DoS tilstand.

Der er fundet følgende sårbarheder:

  • CVE-2023-50387 og CVE-2023-50868 vedrører det problem, at behandlingen af ​​svar, der kommer fra DNSSEC-signerede zoner ved hjælp af NSEC3, kan forårsage "CPU-Exhaust" på en DNSSEC-validerende resolver.
  • CVE-2023-6516: For at holde sin cache-database effektiv, forsøger den navngivne kørende som en rekursiv resolver lejlighedsvis at rydde op i databasen. Den bruger flere metoder, herunder nogle, der er asynkrone. En lille del af hukommelsen, der peger på cache-elementet, der kan ryddes op, tildeles først og sættes derefter i kø til senere behandling. Dette gør det igen muligt for listen over oprydningshændelser i køen til, at vokse sig uendeligt stor over tid, hvilket gør det muligt at overskride den konfigurerede max-cache-størrelsesgrænse markant.
  • CVE-2023-5679: En uhensigtsmæssig interaktion mellem DNS64 og 'serve-stale' kan få servicen til at crashe under den rekursive opløsning, når begge disse funktioner er aktiveret samtidig.
  • CVE-2023-5517: En fejl i 'query'-håndteringen kan forårsage, at servicen afsluttes for tidligt.
  • CVE-2023-4408: DNS 'message-parsing' i servicen inkluderer en sektion, hvis beregningsmæssige kompleksitet er for høj. Det forårsager ikke problemer for typisk DNS-trafik, men udformede forespørgsler og svar kan forårsage overdreven CPU-belastning på den berørte enhed ved at udnytte denne fejl. Dette problem påvirker både autoritative servere og rekursive resolvere.

Der er flere sårbarheder i følgende versioner af BIND:

BIND

  • 9.0.0 -> 9.16.46
  • 9.12.0 -> 9.16.45
  • 9.18.0 -> 9.18.21
  • 9.18.0 -> 9.18.22
  • 9.19.0 -> 9.19.20
  • 9.19.0 -> 9.19.19
  • 9.16.0 -> 9.16.45
  • 9.16.12 -> 9.16.45

BIND Supported Preview Edition

  • 9.9.3-S1 -> 9.11.37-S1
  • 9.16.8-S1 -> 9.16.45-S1
  • 9.18.11-S1 -> 9.18.21-S1

Det anbefales, at der opdateres i henhold til ISC' anbefalinger.

Links:

https://kb.isc.org/docs/cve-2023-50868
https://kb.isc.org/docs/cve-2023-50387
https://kb.isc.org/docs/cve-2023-6516
https://kb.isc.org/docs/cve-2023-5679
https://kb.isc.org/docs/cve-2023-5517
https://kb.isc.org/docs/cve-2023-4408

 

Keywords: 
sårbarheder
BIND
DoS