Критическая ошибка, найденная в популярном DNS-сервере, может стать причиной отказа в обслуживании и сбоя в системе.
Ошибка в библиотеке netaddr.c может привести к сбою в работе популярного DNS-сервера BIND. Об уязвимости сообщил консорциум ISC (Internet Systems Consortium) — некоммерческая организация, координирующая разработку системы.
Проблема проявляется при обращении к набору расширений DNSSEC, который отвечает за проверку корректности DNS-запросов, поступающих от клиентов сервера. Ошибка возникает при очистке очереди выполненных запросов и связана с неправильной последовательностью их обработки. В ряде случаев уязвимость может стать причиной сбоев в функционировании системы и привести к отказу в обслуживании.
Несмотря на то что проблема обнаружена во всех версиях BIND, начиная с 9.0.0, статус критической она приобрела лишь после обновления CVE-2017-3137, выпущенного в апреле прошлого года. Таким образом, под угрозой находятся актуальные релизы BIND, начиная с версии 9.9.9-P8, появившейся тогда же. Как утверждают специалисты ISC, более ранние выпуски программы не обращаются к той части кода, которая содержит ошибку.
Тем не менее, эксперты рекомендуют обновить все версии BIND, чтобы исключить возможность использования этой уязвимости злоумышленниками. Соответствующий апдейт выпущен 16 января. В качестве временной меры допускается отключение ответчика DNSSEC, однако следует помнить, что в этом случае возрастает риск атак, связанных с подменой DNS-адреса при разрешении имен.
BIND является самой распространенной реализацией DNS-сервера. Ее используют 10 из 13 корневых серверов DNS. Система с открытым исходным кодом распространяется по свободной лицензии ISC.