Рекомендация Debian по безопасности

DSA-3854-1 bind9 -- обновление безопасности

Дата сообщения:
14.05.2017
Затронутые пакеты:
bind9
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 860224, Ошибка 860225, Ошибка 860226.
В каталоге Mitre CVE: CVE-2017-3136, CVE-2017-3137, CVE-2017-3138.
Более подробная информация:

В BIND, реализации DNS-сервера, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2017-3136

    Олег Горохов из Yandex обнаружил, что BIND неправильно обрабатывает определённые запросы при использовании DNS64 с опцией "break-dnssec yes;", что позволяет удалённому злоумышленнику вызывать отказ в обслуживании.

  • CVE-2017-3137

    Было обнаружено, что BIND делает некорректные допущения о порядке записей в ответном разделе ответа, содержащем записи CNAME или DNAME, что приводит к ситуациям, когда работа BIND завершается с ошибкой утверждения. Злоумышленник может использовать это условие для вызова отказа в обслуживании.

  • CVE-2017-3138

    Майк Лалюмье ищ Dyn, Inc. обнаружил, что работа BIND может завершиться с ошибкой утверждения REQUIRE в случае, если сервер получает пустую строку команд по управляющему каналу. Заметьте, что исправление, которое было применено в Debian, применено лишь для улучшения безопасности. Подробности об этой проблеме можно найти по адресу https://kb.isc.org/article/AA-01471.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1:9.9.5.dfsg-9+deb8u11.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1:9.10.3.dfsg.P4-12.3.

Рекомендуется обновить пакеты bind9.