Проверьте ваш BIND
Securitilab.ru пишет, что компания-производитель ISC выявила в ряде версий DNS-серверов ISC BIND уязвимость из категории "отказ в обслуживании". Ей присвоен низкий уровень опасности. Тем не менее, принципиально она позволяет удаленному пользователю осуществить DoS-атаку.
Проблема "обитает" в механизме преобразования A-записей (формат адресов IPv4) в AAAA-записи (адресный формат IPv6) и использует правила преобразования (rewrite rules) в Response Policy Zone (RPZ) для A-записей. Таким образом, злоумышленник может дистанционно спровоцировать ошибку подтверждения с помощью специально сформированного DNS-запроса и вызвать аварийное завершение службы RPZ.
Специалисты отмечают, что для успешной эксплуатации уязвимости требуется, чтобы named был сконфигурирован на применение DNS64 и Response Policy Zones, а также - чтобы использовались правила преобразования только для A-записей.
Для устранения проблемы следует установить временное исправление с сайта производителя.
Проблема "обитает" в механизме преобразования A-записей (формат адресов IPv4) в AAAA-записи (адресный формат IPv6) и использует правила преобразования (rewrite rules) в Response Policy Zone (RPZ) для A-записей. Таким образом, злоумышленник может дистанционно спровоцировать ошибку подтверждения с помощью специально сформированного DNS-запроса и вызвать аварийное завершение службы RPZ.
Специалисты отмечают, что для успешной эксплуатации уязвимости требуется, чтобы named был сконфигурирован на применение DNS64 и Response Policy Zones, а также - чтобы использовались правила преобразования только для A-записей.
Для устранения проблемы следует установить временное исправление с сайта производителя.