Создатели наиболее широко используемого в интернете ПО для разрешения доменных имен закрыли уязвимость, позволяющую злоумышленникам подвешивать системы, на которых работает программа.
Делая запрос домена с большим набором resource record sets (RRsets) с попыткой негативного кеширования, злоумышленники могут спровоцировать падение сервера Bind. Уязвимость denial-of-service угрожает системам, которые используют различные версии Bind 9 в качестве кэшируемого ресолвера. DNS-системы используют негативное кэширование для улучшения времени трансляции имени в адрес путем предотвращения многочисленных запросов серверами не существующих доменов.
"В данной уязвимости очень большие RRSIG RRsets, включенные в отрицательный ответ, могут вызвать отказ утверждения (assertion failure), который приводит к краху Bind 9 DNS в результате ошибки off-by-one при проверке размера буфера", - гласит информационный бюллетень, опубликованный Internet Systems Consortium, группой, которая поддерживает Bind.
Информационный бюллетень призывает пользователей обновиться до версий Bind 9.4-ESV-R4-P1, 9.6-ESV-R4-P1, 9.7.3-P1 или 9.8.0-P2, которые доступны здесь.
В качестве временного решения пользователи могут наложить ограничения на систему кеширования резолвера DNS.
"Активная эксплуатация может быть достигнута через действие вредоносных программ и спама, которые вынудят официальных клиентов искать домены, которые проэксплуатируют эту уязвимость", - предупреждает информационный бюллетень.
