Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновление)
Консорциум ISC уведомил пользователей об обнаружении в DNS-сервере BIND 9 уязвимости, позволяющей удалённо вывести DNS-сервер из строя, отправив специально сформированный рекурсивный запрос. Подробности о методе совершения атаки не сообщаются, известно только то, что данная уязвимость уже активно эксплуатируется злоумышленниками в сети.
Исправление пока недоступно, но в ISC обещает опубликовать патч в ближайшие часы, после завершения его тестирования. В качестве обходного пути защиты можно ограничить выполнение рекурсивных запросов только для доверительных хостов. Уязвимости подвержены все версии BIND 9.x. Определить факт атаки можно по краху named с выводом в лог записи "INSIST(! dns_rdataset_isassociated(sigrdataset))".
Дополнение: Выпущены корректирующие версии BIND 9.8.1-P1, 9.7.4-P1, 9.6-ESV-R5-P1, 9.4-ESV-R5-P1 с устранением уязвимости. Статус выпуска обновлений для различных дистрибутивов можно проследить на данных страницах: FreeBSD, Ubuntu, Gentoo, Slackware, Mandriva, openSUSE, CentOS, Fedora, RHEL и Debian.