В BIND исправлены две уязвимости
В популярной открытой реализации DNS-сервера BIND исправлены две уязвимости, позволявшие удаленно вызвать отказ в обслуживании. Обе проблемы представляют среднюю угрозу безопасности.
С помощью первой уязвимости (CVE-2018-5737) удаленный атакующий может вызвать операционные ошибки, в том числе отказ в обслуживании. Проблема затрагивает версии BIND 9.12.0 и 9.12.1, если конфигурация сервера позволяет отправлять рекурсивные запросы клиентам, а значение параметра max-stale-ttl отличное от ноля. Уязвимость исправлена в версии BIND 9.12.1-P2.
Вторую уязвимость (CVE-2018-5736) также можно проэксплуатировать удаленно, но только в случае, если злоумышленник сможет вызвать передачу зоны DNS. Проблема затрагивает версии BIND 9.12.0 и 9.12.1, и была исправлена в версии 9.12.1-P1. Тем не менее, пользователям необходимо установить обновление 9.12.1-P2, так как версия 9.12.1-P1 еще до анонса была отозвана в связи с обнаруженным дефектом.
Передача зоны DNS – вид транзакции DNS. Является одним из механизмов репликации баз DNS между серверами.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
