查看原文
其他

ISC修复多个BIND DNS漏洞

Ravie Lakshmanan 代码卫士 2023-02-16

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士



互联网系统协会 (ISC) 发布补丁,修复了位于BIND 9 DNS软件套件中的多个漏洞,这些漏洞可导致拒绝服务条件。

美国网络安全和基础设施安全局 (CISA) 在安全公告中表示,“远程攻击者可利用这些漏洞引发拒绝服务条件和系统失败。”

BIND DNS是一款开源软件,主流金融企业、国家和国际运营商、互联网服务提供商 (ISPs)、零售商、制造商、教育机构和政府实体都在使用它。这四个漏洞都位于BIND9 的一款服务 named中。Named 可作为已修复DNS区的授权名称服务器或局域网客户端上的递归解析器。

这四个漏洞的CVSS 评分均为7.5,它们是:

  • CVE-2022-3094:UPDATE报文泛滥可能导致named耗尽所有可用内存。

  • CVE-2022-3488:在处理迭代查询的重复响应中的ECS选项时,BIND 受支持的预览版本named可能异常终止。

  • CVE-2022-3736:named被配置为从陈旧缓存中应答,可能在处理RRSIG查询时异常终止。

  • CVE-2022-3924:named 被配置为从陈旧缓存中应答,可能在递归客户端弹性配额时异常终止。

成功利用这些漏洞可导致named 服务崩溃或耗尽目标服务器上的可用内存。这些问题影响版本 9.16.0到9.16.36、9.18.0到9.18.10、9.19.0到9.19.8以及9.16.8-S1到9.16.36-S1。CVE-2022-3488还影响BIND受支持预览版本 9.11.4-S1到9.11.37-S1。这些漏洞已在版本9.16.37、9.18.11、9.19.9和9.16.37-S1中修复。

虽然目前尚未有证据表明这些漏洞已遭活跃利用,但建议用户尽快升级至最新版本以缓解潜在威胁。



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读
奇安信入选全球《软件成分分析全景图》代表厂商详述 ISC BIND 服务器中的信息泄露漏洞
【BlackHat】亚马逊和谷歌修复DNS即平台中的严重漏洞
Akamai DNS 全球断网 谷歌等大批网站在线服务宕机
这个TsuNAME 新漏洞可对关键 DNS 服务器发动 DDoS 攻击
Windows “七大奇迹”:DNS Dynamic Updates 中的7个严重漏洞



原文链接

https://thehackernews.com/2023/01/isc-releases-security-patches-for-new.html


题图:Pexels License‍


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存