İnternet Sistemleri Konsorsiyumu (ISC), DNS yazılım paketi BIND’deki kusurları gidermek için 25 Ocak 2023’te güvenlik önerileri yayınladı. Bu güvenlik açıklarından yararlanılırsa hizmet reddi oluşabilir.
Çözülen kusurlar, hem yetkili bir ad sunucusu hem de özyinelemeli bir çözümleyici olarak hizmet veren veya belleğin tükenmesine neden olan BIND arka plan programı adlı BIND arka plan programının çökmesine neden olacak şekilde uzaktan kullanılma potansiyeline sahiptir.
Kullanıcıların ve yöneticilerin Siber Merkez tarafından gözden geçirmeleri ve gerekli yükseltmeleri yapmaları istenir.
BIND DNS Yazılımının Ayrıntıları güvenlik açıkları
olarak tanımlanan ilk güvenlik kusuru CVE-2022-3094‘adlandırılmış’ ifadesinin çok fazla bellek ayırmasına ve yeterli boş bellek olmayacağı için çökmeye neden olacak bir dizi dinamik DNS güncellemesi gönderilerek istismar edilebilir.
“Bu güvenlik açığının kapsamı, dinamik bölge değişiklikleri yapabilen güvenilir istemcilerle sınırlıdır. ISC’ye göre dinamik bir güncelleme REDDEDİLDİĞİNDE, hafıza çok hızlı bir şekilde yeniden serbest bırakılacaktır”.
Sonuç olarak, ‘adlandırılmış’ özelliğinin yalnızca, benzer bir olumsuz amaca sahip bir sorgu seli ile karşılaştırılabilir boyutta, kabul edilmeyen dinamik güncellemeler seli sunarak durdurulması muhtemeldir.
“Saldırgan, hedef sunucuyu GÜNCELLEME istekleriyle doldurarak, o sunucudaki tüm kullanılabilir belleği tüketebilir”, ISC.
Ancak, bellek sorunlarıyla sınırlı olmak yerine, BIND 9.11 ve önceki sürümler de etkilenir. Performans düşebilse de, çoğu sunucunun bununla ilgili ciddi bir sorunu olmamalıdır.
BIND 9 9.16.0 – 9.16.36, 9.18.0 – 9.18.10, 9.19.0 – 9.19.8 ve 9.16.8-S1 – 9.16.36-S1 sürümlerinin tümü bu sorundan etkilenir.
olarak tanımlanan ikinci sorun, CVE-2022-3736, çökmeye neden olur. ISC, ‘eski-yanıt-istemci-zaman aşımı seçeneği pozitif bir tamsayıya ayarlandığında ve eski önbellek ve eski yanıtlar etkinleştirildiğinde’ çözümleyicinin bir RRSIG sorgusu aldığını belirtir.
Üçüncü kusur, CVE-2022-3924çözümleyici aşırı sayıda yinelenen sorgu aldığında bayat-yanıt-istemci-zaman aşımı seçeneğinin nasıl uygulanacağını etkiler.
Özyinelemenin bitmesini bekleyen yeterli sayıda istemci varsa, en uzun süre bekleyen istemciye eski bir yanıt verme ile erken bir SERVFAIL zaman aşımı teslim etme arasında bir yarış gelişebilir ve bu da adlandırılmış kilitlenmeye neden olur.
BIND DNS Yazılımını Güncelleyin Şimdi
BIND 9.16.37, 9.18.11 ve 9.19.9 sürümlerinin yayınlanmasıyla birlikte üç güvenlik açığı da giderildi. ISC, kullanılan bu güvenlik açıklarından herhangi birinin farkında olmadığını iddia etse de, tüm kullanıcıları BIND kurulumlarını derhal güncellemeye teşvik eder.
ISC ayrıca kullanıcıları kusur konusunda uyarır CVE-2022-3488desteklenen tüm BIND önizleme sürümü sürümlerini etkileyen (uygun müşterilere sağlanan benzersiz bir özellik önizleme dalı).
Sorun, aynı ad sunucusundan aynı anda iki ECS sözde seçenek yanıtı göndererek, ancak ilk yanıtın hatalı olması ve çözümleyicinin sorgu yanıtını reddetmesine neden olmasıyla ortaya çıkabilir. İkinci yanıtın işlenmesi sırasında adlandırılmış çökmeler.
Dört güvenlik kusurunun tamamı, BIND önizleme sürümü 9.16.37-S1 sürümünde düzeltildi. BIND 9 güvenlik açığı matrisi, düzeltilen sorunlar hakkında daha fazla ayrıntı içerir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin