ISC (İnternet Sistemleri Konsorsiyumu), uzak saldırganların BIND DNS sunucularının kontrolünü ele geçirmesine izin verebilecek altı güvenlik açığını gidermek amacıyla bu hafta bir güvenlik düzeltme eki yayınladı.
Toplamda, altı güvenlik açığından dördü, hizmet reddi (DoS) yapıları nedeniyle “yüksek önem derecesi” olarak derecelendirildi.
Güvenlik açıkları
Aşağıda tüm yüksek önemdeki güvenlik açıklarından bahsettik: –
Bunlardan ilki olan CVE-2022-2906, birden çok yerde rapor edilmiş bir bellek sızıntısı güvenlik açığıdır. OpenSSL 3.0.0 ve sonraki sürümlerinde, TKEY kayıtlarının kullanıldığı bu güvenlik açığı öncelikle Diffie-Hellman modunda anahtar işlemeyi etkiler.
CVE-2022-38177 olarak izlenen ECDSA DNSSEC kimlik doğrulama sisteminde DNSSEC doğrulaması kodunda da bir bellek sızıntısı vardı. Bir imza uzunluğunun uyuşmamasıyla, bir saldırgan bu güvenlik açığından yararlanabilir.
Saldırgan, değiştirilmiş bir ECDSA imzasıyla yanıtların döndürülmesine neden olmak için hedef çözümleyiciyi yanıltarak küçük bir bellek sızıntısını tetikleyebilir. Adlandırılmış kişinin kullanabileceği bellek miktarını, yeterli belleğin olmadığı bir noktaya kadar kademeli olarak aşındırırsanız, adlandırılmış çökme olasılığı vardır.
Belirli koşullar altında, BIND 9 çözümleyicisine özel hazırlanmış sorgular gönderildiğinde, CVE-2022-3080 olarak izlenen üçüncü bir sorun, sorguyu çözemediği için çözümleyicinin çökmesine neden olabilir.
ECDSA DNSSEC doğrulama kodunun, CVE-2022-38178 olarak izlenen bir bellek sızıntısı içerdiği ve bu, dördüncü yüksek önem derecesine sahip güvenlik açığı olduğu belirlendi.
Güncellemeler
Aşağıdakiler için güncellemelerin yayınlandığı açıklandı: –
- BIND 9.18 (kararlı dal)
- BIND 9.19 (geliştirme sürümü)
- BIND 9.16 (Genişletilmiş Destek Sürümü)
Ayrıca, tüm bu güvenlik açıkları vahşi doğada istismar edilmedi ve herhangi bir istismar herkese açık değil.
ISC kısa süre önce bu dört güvenlik açığıyla ilgili bir tavsiye yayınladı. CISA ayrıca, bu eksiklikleri gidermek için kullanıcıları ve yöneticileri tavsiye belgesini mümkün olan en kısa sürede incelemeye çağırdı.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap