Уязвимость DNS-сервера BIND CVE-2015-5477
Совсем недавно, 28 июля 2015 года, Internet Systems Consortium (ISC) опубликовал заплатку для исправления серьезной уязвимости в одном из самых популярных продуктов для DNS — ISC BIND. Информация об уязвимости получила идентификатор CVE-2015-5477: An error in handling TKEY queries can cause named to exit with a REQUIRE assertion failure.
Уязвимость в BIND позволяет злоумышленнику с помощью специального пакета данных вызвать аварийную остановку BIND. Другими словами, появился очень простой способ для атаки DoS в адрес DNS-сервера, причем установка каких-либо фильтров или блокировок средствами самого BIND не дает результатов.
В данный момент уже существует готовое приложение (exploit), с помощью которого возможна организация DoS-атак на все актуальные версии BIND, кроме того — есть сообщения об уже проведенных успешных DoS-атаках с использованием этой ошибки.
BIND широко используется на множестве серверов и является DNS-сервером по-умолчанию для большинства известных версий Linux, FreeBSD и других систем, некоторые панели управления серверами (ISPManager, например) используют BIND в стандартной поставке.
Если вы используете BIND в качестве DNS-сервера, обновите его как можно быстрее, ведь остановка сервера имен может привести к недоступности ваших ресурсов.
Дополнительная информация об уязвимости CVE-2015-5477:
- Sucuri: BIND9 – Denial of Service Exploit in the Wild
- National Cyber Awareness System: Vulnerability Summary for CVE-2015-5477
- The Nextweb — A huge DNS exploit could take down chunks of the internet
- RedHat: BIND TKEY vulnerability (CVE-2015-5477)
- Debian Security Tracker: CVE-2015-5477
- Ubuntu Security Notice USN-2693-1: Bind vulnerabilities