Информация по безопасности / 2017 / Информация о безопасности -- DSA-3854-1 bind9

Рекомендация Debian по безопасности

DSA-3854-1 bind9 -- обновление безопасности

Дата сообщения:

14.05.2017

Затронутые пакеты:

bind9

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 860224, Ошибка 860225, Ошибка 860226.
В каталоге Mitre CVE: CVE-2017-3136, CVE-2017-3137, CVE-2017-3138.

Более подробная информация:

В BIND, реализации DNS-сервера, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2017-3136

  Олег Горохов из Yandex обнаружил, что BIND неправильно обрабатывает определённые запросы при использовании DNS64 с опцией "break-dnssec yes;", что позволяет удалённому злоумышленнику вызывать отказ в обслуживании.

• CVE-2017-3137

  Было обнаружено, что BIND делает некорректные допущения о порядке записей в ответном разделе ответа, содержащем записи CNAME или DNAME, что приводит к ситуациям, когда работа BIND завершается с ошибкой утверждения. Злоумышленник может использовать это условие для вызова отказа в обслуживании.

• CVE-2017-3138

  Майк Лалюмье из Dyn, Inc. обнаружил, что работа BIND может завершиться с ошибкой утверждения REQUIRE в случае, если сервер получает пустую строку команды по управляющему каналу. Заметьте, что исправление, которое было применено в Debian, применено лишь для улучшения безопасности. Подробности об этой проблеме можно найти по адресу https://kb.isc.org/article/AA-01471.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1:9.9.5.dfsg-9+deb8u11.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1:9.10.3.dfsg.P4-12.3.

Рекомендуется обновить пакеты bind9.