聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
美国网络安全和基础设施安全局 (CISA) 在安全公告中表示,“远程攻击者可利用这些漏洞引发拒绝服务条件和系统失败。”
BIND DNS是一款开源软件,主流金融企业、国家和国际运营商、互联网服务提供商 (ISPs)、零售商、制造商、教育机构和政府实体都在使用它。这四个漏洞都位于BIND9 的一款服务 named中。Named 可作为已修复DNS区的授权名称服务器或局域网客户端上的递归解析器。
这四个漏洞的CVSS 评分均为7.5,它们是:
-
CVE-2022-3094:UPDATE报文泛滥可能导致named耗尽所有可用内存。
-
CVE-2022-3488:在处理迭代查询的重复响应中的ECS选项时,BIND 受支持的预览版本named可能异常终止。
-
CVE-2022-3736:named被配置为从陈旧缓存中应答,可能在处理RRSIG查询时异常终止。
-
CVE-2022-3924:named 被配置为从陈旧缓存中应答,可能在递归客户端弹性配额时异常终止。
成功利用这些漏洞可导致named 服务崩溃或耗尽目标服务器上的可用内存。这些问题影响版本 9.16.0到9.16.36、9.18.0到9.18.10、9.19.0到9.19.8以及9.16.8-S1到9.16.36-S1。CVE-2022-3488还影响BIND受支持预览版本 9.11.4-S1到9.11.37-S1。这些漏洞已在版本9.16.37、9.18.11、9.19.9和9.16.37-S1中修复。
虽然目前尚未有证据表明这些漏洞已遭活跃利用,但建议用户尽快升级至最新版本以缓解潜在威胁。
https://thehackernews.com/2023/01/isc-releases-security-patches-for-new.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):ISC修复多个BIND DNS漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论