Lyu Chiy

**Nome do software vulnerável e versões afetadas: Versões do BIND 9.10.0 a 9.11.21 Versões do BIND 9.12.0 a 9.16.5 Versões do BIND 9.17.0 a 9.17.3 Versões da Edição de Pré-visualização com suporte do BIND 9, de 9.10.5-S1 a 9.11.21-S1 Descrição: A vulnerabilidade permite que um invasor provoque uma falha no sistema com um pacote de consulta especialmente criado. Para estar vulnerável, o sistema deve estar executando o BIND compilado com a opção “--enable-native-pkcs11”, assinando uma ou mais zonas com uma chave RSA e ser capaz de receber consultas de um possível invasor. A vulnerabilidade está relacionada à implementação do servidor DNS compilado com a opção “--enable-native-pkcs11” e está associada à falta de um mecanismo de gerenciamento de privilégios. A exploração pode permitir que um invasor remoto cause uma negação de serviço enviando consultas de zona DNS especialmente formuladas e assinadas com uma chave RSA. Recomendações: Para as versões do BIND 9.10.0 a 9.11.21, considere desativar o suporte nativo a PKCS#11 até que um patch esteja disponível. Para as versões do BIND 9.12.0 a 9.16.5, restrinja o acesso a zonas assinadas com chaves RSA para minimizar o risco de exploração. Para as versões do BIND 9.17.0 a 9.17.3, evite usar a opção “--enable-native-pkcs11” ao compilar o BIND até que uma correção seja lançada. Para as versões da Edição de Pré-visualização Suportada do BIND 9, de 9.10.5-S1 a 9.11.21-S1, aplique as mesmas recomendações das versões correspondentes do BIND.