Обновление DNS-сервера BIND 9.7.3-p1 и 9.8.0-p2 с устранением DoS-уязвимости
Представлены новые версии DNS-сервера BIND 9.7.3-p1 и 9.8.0-p2 в которых устранена уязвимость, которая может быть использована для инициирования отказа в обслуживании (крах рабочего процесса) путем наводнения сервера набором используемых в DNSSEC запросов RRSIG RRset (Resource Record Set).
Уязвимость может быть эксплуатирована злоумышленником, имеющим полномочия отправки к DNS-серверу рекурсивных запросов на преобразование имен. Крах происходит в ситуации резолвинга, при котором удаленный DNS-сервер возвращает отрицательные значения в ответ на отправленные запросы, т.е. для проведения атаки злоумышленник должен организовать работу внешнего подставного DNS-сервера. Проблема проявляется независимо от активности DNSSEC на стороне резолвера, на который производится атака.
Сервер Unbound также подвержен этой проблеме. Уязвимость исправлена в версии 1.4.10.