کنسرسیوم سیستمهای اینترنت (ISC) وصلههایی را برای رفع آسیبپذیریهای امنیتی متعدد در مجموعه نرمافزاری سیستم نام دامنه (DNS) 9 برکلی نامهای اینترنتی (BIND) منتشر کرده است که میتواند منجر به وضعیت انکار سرویس (DoS) شود.
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) در توصیهای که روز جمعه منتشر شد، گفت: «یک مهاجم از راه دور میتواند از این آسیبپذیریها برای ایجاد شرایط محرومیت از سرویس و خرابی سیستم سوء استفاده کند».
این نرم افزار منبع باز توسط شرکت های مالی بزرگ، شرکت های ملی و بین المللی، ارائه دهندگان خدمات اینترنتی (ISP)، خرده فروشان، تولید کنندگان، مؤسسات آموزشی و نهادهای دولتی استفاده می شود.
هر چهار نقص در یک سرویس BIND9 نامگذاری شده است که به عنوان یک سرور نام معتبر برای مجموعه ای ثابت از مناطق DNS یا به عنوان یک حل کننده بازگشتی برای مشتریان در یک شبکه محلی عمل می کند.
لیست اشکالات که در سیستم امتیازدهی CVSS دارای امتیاز ۷٫۵ هستند به شرح زیر است –
- CVE-2022-3094 – سیل پیام UPDATE ممکن است باعث شود که نام تمام حافظه موجود را تمام کند
- CVE-2022-3488 – نسخه پیشنمایش پشتیبانی شده BIND ممکن است به طور غیرمنتظرهای در هنگام پردازش گزینههای ECS در پاسخهای مکرر به جستارهای تکراری پایان یابد.
- CVE-2022-3736 – نامگذاری شده برای پاسخ از حافظه پنهان قدیمی ممکن است به طور غیرمنتظره ای در حین پردازش پرس و جوهای RRSIG پایان یابد
- CVE-2022-3924 – نامگذاری شده برای پاسخ از حافظه پنهان قدیمی ممکن است به طور غیرمنتظره ای در سهمیه نرم افزاری مشتریان بازگشتی خاتمه یابد.
سوء استفاده موفقیتآمیز از آسیبپذیریها میتواند باعث از کار افتادن سرویس نامبرده شود یا حافظه موجود در سرور هدف را تخلیه کند.
این مشکلات بر روی نسخههای ۹٫۱۶٫۰ تا ۹٫۱۶٫۳۶، ۹٫۱۸٫۰ تا ۹٫۱۸٫۱۰، ۹٫۱۹٫۰ تا ۹٫۱۹٫۸ و ۹٫۱۶٫۸-S1 تا ۹٫۱۶٫۳۶-S1 تأثیر میگذارد. CVE-2022-3488 همچنین بر نسخه های ۹٫۱۱٫۴-S1 تا ۹٫۱۱٫۳۷-S1 نسخه پیش نمایش پشتیبانی شده BIND تأثیر می گذارد. آنها در نسخه های ۹٫۱۶٫۳۷، ۹٫۱۸٫۱۱، ۹٫۱۹٫۹ و ۹٫۱۶٫۳۷-S1 حل شده اند.
اگرچه شواهدی مبنی بر اینکه هر یک از این آسیبپذیریها به طور فعال مورد سوء استفاده قرار میگیرند، وجود ندارد اما به کاربران توصیه میشود در اسرع وقت به آخرین نسخه ارتقا دهند تا تهدیدات احتمالی را کاهش دهند.