Информация по безопасности / 2017 / Информация о безопасности -- DSA-3904-1 bind9

Рекомендация Debian по безопасности

DSA-3904-1 bind9 -- обновление безопасности

Дата сообщения:

08.07.2017

Затронутые пакеты:

bind9

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 866564.
В каталоге Mitre CVE: CVE-2017-3142, CVE-2017-3143.

Более подробная информация:

Клеман Берто из Synaktiv обнаружил две уязвимости в BIND, реализации DNS-сервера. Они позволяют злоумышленнику обходить TSIG-аутентификацию путём отправки на сервер специально сформированных DNS-пакетов.

• CVE-2017-3142

  Злоумышленник, способный отправлять сообщения авторитетному DNS-серверу и получать его ответы, а также знающий имя корректного TSIG-ключа, может обойти TSIG-аутентификацию AXFR-запросов с помощью специально сформированного пакета запроса. Сервер, использующий для защиты только TSIG-ключи без какого-либо дополнительного списка контроля доступа, может

  • предоставить AXFR зоны неавторизованному получателю
  • принять поддельные NOTIFY-пакеты
• CVE-2017-3143

  Злоумышленник, способный отправить сообщения авторитетному DNS-серверу и получать его ответы, а также знающий имя корректного TSIG-ключа для зоны и избранной в качестве цели службы, может вызвать ситуацию, при которой BIND примет неавторизованное динамическое обновление.

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены в версии 1:9.9.5.dfsg-9+deb8u12.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 1:9.10.3.dfsg.P4-12.3+deb9u1.

Рекомендуется обновить пакеты bind9.