Alvarlegir veikleikar í ISC BIND

18. mars 2022

Nokkrir veikleikar hafa uppgötvast í hugbúnaðinum BIND frá ISC [1], þar á
meðal tveir sem eru alvarlegir. Í einföldustu mynd þá er BIND notað til að
meðhöndla upplýsingar um lén og færslur tengdar lénum og meðal annars til að
svara kerfislegum fyrirspurnum um ip tölur sem svara fyrir vefsvæði og aðrar
þjónustur. 

BIND er minna notað í dag en áður fyrr, en allir veikleikar sem hafa áhrif á
tiltækileika nafnaþjónusta getur haft mikil áhrif á netþjónustur á
internetinu. 

Veikleikarnir eru fjórir talsins; 

- CVE-2021-25220 [2] 
  CVSS skor 6.2 
  BIND gæti vistað falskar NS færslur í ákveðnum aðstæðum (e. "... when using 
  forwarders") og notað síðar sem gæti aftur leitt til þess að rangar færslur 
  eru notaðar til að svara fyrirspurnum (e. cache poisoning). 
  Mótvægisaðgerðir eru mögulegar. 

- CVE-2022-0396 [3] 
  CVSS skor 4.9 
  Sérstaklega til þess ætluð TCP flæði (e. specifically crafted TCP streams) 
  geta leitt til þess að BIND tengingar fari í CLOSE_WAIT stöðu sem lokast 
  ekki þrátt fyrir að biðill (e. client) loki tengingunni. 
  Mótvægisaðgerðir eru mögulegar. 

- CVE-2022-0635 [4]
  CVSS skor 7.0
  Hægt er að senda raðir fyrirspurna(e. series of specific queries) sem
  leiðir til þess á endanum að hugbúnaðurinn hættir vinnslu (e. terminates). 
  Mótvægisaðgerðir eru mögulegar. 

- CVE-2022-0667 [5]
  CVSS skor 7.0
  Hægt er að senda fyrirspurnir um DS færslur á BIND útgáfu 9.18 og fá þar
  með hugbúnaðinn til að hætta vinnslu(e. exit). 
  Mótvægisaðgerðir eru ekki þekktar. 

 
Veikleikarnir eru allir misnotanlegir án þess að ógnaraðili hafi sértækan
aðgang að BIND hugbúnaðinum (e. remote), eru í mörgum mismunandi útgáfum af
ISC BIND (fyrir utan CVE-2022-0667) og í engum tilvikum er vitað til þess að
ógnaraðilar hafi misnotað veikleikana eða að kóði hafi verið birtur sem
misnotar veikleikann (e. exploit). 

CERT-IS mælir með að uppfæra eða nýta mótvægisaðgerðir án tafa. 

Tilvísanir:
[1] https://www.cisa.gov/uscert/ncas/current-activity/2022/03/17/isc-releases-security-advisories-bind 
[2] https://kb.isc.org/docs/cve-2021-25220 
[3] https://kb.isc.org/docs/cve-2022-0396 
[4] https://kb.isc.org/docs/cve-2022-0635 
[5] https://kb.isc.org/docs/cve-2022-0667 

Til baka