Shoham Danino

**Nome do software vulnerável e versões afetadas** BIND 9, versões 9.0.0 a 9.16.45 BIND 9, versões 9.18.0 a 9.18.21 BIND 9, versões 9.19.0 a 9.19.19 Versões do BIND 9 de 9.9.3-S1 a 9.11.37-S1 Versões do BIND 9 de 9.16.8-S1 a 9.16.45-S1 Versões do BIND 9 de 9.18.11-S1 a 9.18.21-S1 **Descrição** O código de análise de mensagens DNS no `named` inclui uma seção cuja complexidade computacional é excessivamente alta. Isso não causa problemas para o tráfego DNS típico, mas consultas e respostas maliciosas podem causar carga excessiva na CPU da instância `named` afetada ao explorar essa falha. Esta vulnerabilidade afeta tanto servidores autoritativos quanto resolvedores recursivos. Um invasor remoto poderia explorar essa vulnerabilidade para provocar uma falha de asserção ao consultar zonas reversas RFC 1918. **Recomendações** Para as versões 9.0.0 a 9.16.45 do BIND 9, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 9.18.0 a 9.18.21 do BIND 9, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 9.19.0 a 9.19.19 do BIND 9, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 9.9.3-S1 a 9.11.37-S1 do BIND 9, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões do BIND 9 de 9.16.8-S1 a 9.16.45-S1, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões do BIND 9 de 9.18.11-S1 a 9.18.21-S1, atualize para uma versão fora desse intervalo para mitigar o risco. Como medida temporária

**Name of the Vulnerable Software and Affected Versions** BIND 9 versions 9.11.0 through 9.16.41 BIND 9 versions 9.18.0 through 9.18.15 BIND 9 versions 9.19.0 through 9.19.13 BIND 9 versions 9.11.3-S1 through 9.16.41-S1 BIND 9 versions 9.18.11-S1 through 9.18.15-S1 **Description** The effectiveness of the cache-cleaning algorithm used in `named` can be severely diminished by querying the resolver for specific RRsets in a certain order, effectively allowing the configured `max-cache-size` limit to be significantly exceeded. This can lead to a denial of service, caused by a flaw that allows the named's configured cache size limit to be significantly exceeded, potentially exhausting all memory on the host. **Recommendations** For BIND 9 versions 9.11.0 through 9.16.41, update to a version that includes a fix for this issue. For BIND 9 versions 9.18.0 through 9.18.15, update to a version that includes a fix for this issue. For BIND 9 versions 9.19.0 through 9.19.13, update to a version that includes a fix for this issue. For BIND 9 versions 9.11.3-S1 through 9.16.41-S1, update to a version that includes a fix for this issue. For BIND 9 versions 9.18.11-S1 through 9.18.15-S1, update to a version that includes a fix for this issue. As a temporary workaround, consider restricting access to the `named` instance to minimize the risk of exploitation.