В DNS-сервере BIND 9 обнаружена критическая уязвимость
17.11.2011
Консорциум разработчиков Internet Systems Consortium, ведущий разработку самого популярного в интернете DNS-сервера BIND опубликовал данные о наличии серьезной уязвимости в BIND и призвал пользователей как можно скорее обновить используемую ими версию BIND.
Согласно сообщению ISC, ряд "непонятных" сетевых событий могут привести к тому, что программное обеспечение BIND 9 создает кеш-память с неверными доменными записями, что может быть использовано для подделки доменных адресов, а кроме того было установлено, что при передаче определенных служебных данных (если быть точным, то команды INSIST(! dns_rdataset_isassociated(sigrdataset))) происходит крах работы программного обеспечения.
Помимо этого, разработчики BIND предупредили, что некоторые пользователи данного сервера из США, Германии и Франции говорят о наличии в интернете случаев хакерских атак, эксплуатирующих данные уязвимости. В сообщении ISC говорится, что какими-либо служебными настройками исправить выявленные ошибки в BIND нельзя, так как проблема в коде сервера и устраняется она только через обновление. Подвержены уязвимости версии BIND 9.8.1-P1, 9.7.4-P1, 9.6-ESV-R5-P1 и 9.4-ESV-R5-P1.
В ISC говорят, что основную тревогу вызывает именно неверная работа кеш-системы, которая при получении определенных клиентских запросов формирует область кеш-памяти, однако при последующих запросах к этой области происходит выдача неверных результатов с доменными записями.
Технически у новых версий BIND 9 есть встроенные средства защиты и в будущем кеш все равно был бы обновлен, но учитывая важность верной работы DNS-системы для современного интернета, разработчики дают критический уровень угрозы для этой проблемы. Дополнительную опасность представляет собой и то, что сами разработчики BIND так и не смогли полностью описать все возможные сетевые события и запросы, которые приводят к сбойной работе кеша DNS-сервера.
