İnternet Sistemleri Konsorsiyumu (ISC), Berkeley İnternet Adı Etki Alanı (BIND) 9 Etki Alanı Adı Sistemi (DNS) yazılım paketindeki hizmet reddi (DoS) durumuna yol açabilecek birden çok güvenlik açığını gidermek için yamalar yayınladı.
ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA) Cuma günü yayınlanan bir danışma belgesinde, “Uzaktaki bir saldırgan, potansiyel olarak hizmet reddi koşullarına ve sistem arızalarına neden olmak için bu güvenlik açıklarından yararlanabilir.”
Web sitesine göre açık kaynaklı yazılım, büyük finans firmaları, ulusal ve uluslararası taşıyıcılar, internet servis sağlayıcıları (ISS’ler), perakendeciler, üreticiler, eğitim kurumları ve devlet kurumları tarafından kullanılıyor.
Dört kusurun tümü, sabit bir DNS bölgesi kümesi için yetkili bir ad sunucusu veya yerel bir ağdaki istemciler için özyinelemeli bir çözümleyici olarak işlev gören bir BIND9 hizmetinde bulunur.
CVSS puanlama sisteminde 7.5 puan alan bugların listesi şu şekilde:
- CVE-2022-3094 – Bir GÜNCELLEME mesajı seli, adlandırmanın mevcut tüm belleği tüketmesine neden olabilir
- CVE-2022-3488 – adlı BIND Desteklenen Önizleme Sürümü, yinelemeli sorgulara tekrarlanan yanıtlarda ECS seçenekleri işlenirken beklenmedik şekilde sonlandırılabilir.
- CVE-2022-3736 – eski önbellekten yanıt vermek üzere yapılandırılmış, RRSIG sorguları işlenirken beklenmedik şekilde sonlandırılabilir
- CVE-2022-3924 – eski önbellekten yanıt vermek üzere yapılandırılmış adlandırılmış, özyinelemeli istemciler esnek kotasında beklenmedik şekilde sonlandırılabilir
Güvenlik açıklarından başarıyla yararlanılması, adı geçen hizmetin çökmesine veya hedef sunucudaki kullanılabilir belleği tüketmesine neden olabilir.
Sorunlar 9.16.0 – 9.16.36, 9.18.0 – 9.18.10, 9.19.0 – 9.19.8 ve 9.16.8-S1 – 9.16.36-S1 sürümlerini etkiler. CVE-2022-3488, BIND Destekli Önizleme Sürümü 9.11.4-S1 ila 9.11.37-S1 sürümlerini de etkiler. 9.16.37, 9.18.11, 9.19.9 ve 9.16.37-S1 sürümlerinde çözülmüştür.
Bu güvenlik açıklarından herhangi birinin aktif olarak kullanıldığına dair bir kanıt olmamasına rağmen, kullanıcıların potansiyel tehditleri azaltmak için mümkün olan en kısa sürede en son sürüme yükseltmeleri önerilir.