В DNS сервере Bind 9 найдена (https://www.isc.org/node/474) уязвимость, позволяющая удаленному злоумышленнику инициировать крах серверного процесса через отправку специального dynamic dns update запроса для DNS зоны, которую обслуживает атакованный DNS сервер.

Уязвимости подвержены все серверы, настроенные мастером для одной или более зон, не исключая те, конфигурация которых не допускает динамического обновления. Применение ACL не дает защиты от уязвимости. Возможна настройка пакетного фильтра для блокирования запросов на динамическое обновление зоны. Slave-серверы не подвержены данной уязвимости.

При остановке сервера в лог выводится сообщение: "db.c:659: REQUIRE(type != ((dns_rdatatype_t)dns_rdatatype_any)) failed
exiting (due to assertion failure).". Крах возникает при получении dynamic update запроса, содержащего поле вида "ANY", когда в зоне присутствует как минимум одна RRset запись для данного доменного имени.

В сети циркулирует публичный эксплоит, поэтому разраб...

URL: https://www.isc.org/node/474
Новость: http://www.opennet.me/opennews/art.shtml?num=22796