[TLP:CLEAR] BIND opravuje 2 vysoce závažné zranitelnosti

BIND 9 verzemi 9.21.4, 9.20.5, 9.18.33 a 9.18.33-S1 opravuje 2 vysoce závažné zranitelnosti [1][2]. Debian vydal opravu pro distribuci bookworm ve verzi 1:9.18.33-1~deb12u2 a sid ve verzi 1:9.20.5-1 [3][4]. Ubuntu opravilo verzemi 1:9.20.0-2ubuntu3.1 (24.10 oracular), 1:9.18.30-0ubuntu0.24.04.2 (24.04 LTS noble), 1:9.18.30-0ubuntu0.22.04.2 (22.04 LTS jammy) a 1:9.18.30-0ubuntu0.20.04.2 (20.04 LTS focal) [5][6]. Slackware vydal opravu v rámci SSA:2025-029-01 zde [7].

BIND - CPU exhaustion (CVE-2024-11187) CVSS 7.5 (High)

Neautentizovanému vzdálenému útočníkovi je umožněno vytvořit speciálně navrženou DNS zónu, jejíž dotazy generují odpovědi obsahující velké množství záznamů v sekci Additional, což vede k nadměrnému zatížení autoritativního serveru nebo nezávislého resolveru a může způsobit degradaci výkonu nebo úplnou nedostupnost služby. K zneužití zranitelnosti je nutné, aby byly zóny vytvořeny záměrně [1].

Zranitelnost se nachází v produktech:

  • BIND ve verzích (>=9.21.0 AND <=9.21.3) OR (>=9.20.0 AND <=9.20.4) OR (>=9.18.0 AND <=9.18.32) OR (>=9.16.0 AND <=9.16.50) OR (>=9.11.0 AND <=9.11.37)
  • BIND Supported Preview Edition ve verzích (>=9.18.11-S1 AND <=9.18.32-S1) OR (>=9.16.8-S1 AND <=9.16.50-S1) OR (>=9.11.3-S1 AND <=9.11.37-S1)

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Více informací:

Zranitelnost byla veřejně oznámena 29. 1. 2025.

BIND - heavy query load (CVE-2024-12705) CVSS 7.5 (High)

Neautentizovanému vzdálenému útočníkovi využívajícímu protokol DNS-over-HTTPS je umožněno vyčerpat procesor a nebo paměť DNS resolveru tím, že jej zahltí platným nebo neplatným HTTP/2 provozem, což může způsobit jeho zpomalení nebo úplnou nedostupnost pro legitimní uživatele [2].

Zranitelnost se nachází v produktech:

  • BIND ve verzích (>=9.21.0 AND <=9.21.3) OR (>=9.20.0 AND <=9.20.4) OR (>=9.18.0 AND <=9.18.32)
  • BIND Supported Preview Edition ve verzích >=9.18.11-S1 AND <=9.18.32-S1

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Více informací:

Zranitelnost byla veřejně oznámena 29. 1. 2025.


Za CESNET-CERTS Michaela Jarošová dne 3. 2. 2025.

CESNET CERTS Logo