PT-2022-6540 · Isc+2 · Bind+2
Publicado
2022-03-16
·
Atualizado
2024-06-15
·
CVE-2022-0667
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
BIND versão 9.18.0
Descrição
O problema está relacionado ao processamento de uma solicitação de registro DS que precisa ser encaminhada. Quando essa solicitação é processada, o sistema aguarda a conclusão do processamento ou o ocorrência de um tempo limite. Devido a esse tempo limite, a função
resume dslookup() é chamada sem verificar se a pesquisa foi concluída anteriormente. Isso permite que um invasor remoto provoque uma falha de asserção, fazendo com que o processo do BIND seja encerrado e resultando em uma negação de serviço.Recomendações
Para a versão 9.18.0 do BIND, considere desativar o recurso de encaminhamento de registros DS até que um patch esteja disponível para impedir que a função
resume dslookup() seja chamada sem as verificações adequadas, minimizando assim o risco de exploração.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
DoS
Assertion Failure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bind
Bind Server
Red Os