Обновление DNS-сервера BIND 9.16.33, 9.18.7 и 9.19.5 c устранением уязвимостей

Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.16.33 и 9.18.7, а также новый выпуск экспериментальной ветки 9.19.5. В новых версиях устранены уязвимости, которые могут привести к отказу в обслуживании:

  • CVE-2022-2795 – при делегировании большого объёма возможно значительное снижение производительности, как следствие, сервер будет не способен обслуживать запросы.
  • CVE-2022-2881 – выход за границы буфера при чтении, что может привести к утечке данных или краху процесса.
  • CVE-2022-2906 – утечки памяти в реализации алгоритма Диффи-Хеллмана с использованием записей TKEY, что может привести к постепенному исчерпанию свободной памяти в системе.
  • CVE-2022-3080 – возможен крах сервера при разрешении в настройках отдачи ответа из устаревшего кэша и параметра stale-answer-client-timeout равного 0.
  • CVE-2022-38177 и CVE-2022-38178 – утечки памяти в коде проверки DNSSEC по алгоритмам ECDSA и EdDSA при неверно указанной длине подписи.
Release. Ссылка here.