Vysoko závažné zraniteľnosti v DNS systéme BIND možno zneužiť na zneprístupnenie služby

Vývojári DNS systému BIND vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú dve vysoko závažné zraniteľnosti. CVE-2024-12705 a CVE-2024-11187 možno zneužiť na zahltenie dostupných prostriedkov a zneprístupnenie služby.

Zraniteľné systémy:

• BIND vo verziách od 9.11.0 do 9.11.37 (vrátane)
• BIND vo verziách od 9.16.0 do 9.16.50 (vrátane)
• BIND vo verziách od 9.18.0 do 9.18.32 (vrátane)
• BIND vo verziách od 9.20.0 do 9.20.4 (vrátane)
• BIND vo verziách od 9.21.0 do 9.21.3 (vrátane)
• BIND Supported Preview Edition vo verziách od 9.11.3-S1 do 9.11.37-S1 (vrátane)
• BIND Supported Preview Edition vo verziách od 9.16.8-S1 do 9.16.50-S1 (vrátane)
• BIND Supported Preview Edition vo verziách od 9.18.11-S1 do 9.18.32-S1 (vrátane)

Pozn.: Prítomnosť zraniteľností nebola preverovaná v rámci BIND vo verziách starších ako 9.11.37 a BIND Supported Preview Edition vo verziách starších ako 9.11.37-S1 (CVE-2024-11187) a 9.18.27 a BIND Supported Preview Edition vo verziách starších ako 9.18.27-S1 (CVE-2024-12705) .

Opis zraniteľnosti:

CVE-2024-12705  (CVSS skóre 7,5)

Zraniteľnosť by vzdialený neautorizovaný útočník zaplavením resolvera veľkým objemom HTTP/2 prevádzky mohol zneužiť na zahltenie dostupných prostriedkov (procesor, operačná pamäť) a následné zneprístupnenie služby spočívajúce v nemožnosti vytvorenia nových DoH (DNS-over-HTTPS) spojení.

Pozn.: Zraniteľnosť je možné zneužiť len na inštanciách s aktivovaným DNS-over-HTTPS.

CVE-2024-11187  (CVSS skóre 7,5)

Zaslaním bližšie nešpecifikovaných požiadaviek na špeciálne vytvorené zóny dochádza ku generovaniu odpovedí s veľkým množstvom záznamov v sekcii Additional, ktoré vedú k zahlteniu výpočtových prostriedkov autoritatívnych serverov a nezávislých resolverov a zneprístupneniu služby.

Pozn.: Zneužitie zraniteľnosti je možné mitigovať nastavením „minimal-responses yes;“

Možné škody:

• Zneprístupnenie služby

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu BIND na verzie 9.18.33, 9.20.5 alebo 9.21.4 a BIND Supported Preview Edition na verziu 9.18.33-S1.

Zdroje:

• https://kb.isc.org/docs/cve-2024-12705
• https://kb.isc.org/docs/cve-2024-11187