Некоторые сервера системы доменных имен оказались под угрозой DoS-атак после того, как уязвимость была описана и пропатчена в нескольких популярных серверных пакетах, включая BIND, OpenDNS, PowerDNS и NLnetLabs.

Согласно извещению от DHS и CERT Координационного центра Института разработки программного обеспечения Университета Карнеги — Меллон, многие другие производители, включая Apple, Cisco и Microsoft, все еще не сообщили, уязвимы ли их серверные пакеты.

В сообщении сказано, что рекурсивные резолверы DNS находятся под прицелом этой проблемы; запросы, отправленные на вредоносный сервер, могут заставить резолвер следовать по бесконечной цепочке ссылок.

«Использовав специально сконструированные зоны или собственный сервер, злоумышленник может эксплуатировать ошибку в коде, который BIND 9 использует, чтобы следовать за делегированием в DNS, что заставляет BIND отправлять нелимитированное число запросов, — сообщила в своем оповещении некоммерческая организация Internet Systems Consortium, которая ведет проект BIND. — Это может привести к истощению ресурсов и отказу в обслуживании (вплоть до остановки процесса сервера)».

Проблема решена в BIND 9.9.6-P1 и 9.10.1-P1; версии 9.0.x–9.8.x, 9.9.0–9.9.6, 9.10.0–9.10.1 являются уязвимыми. Согласно ISC, ограничение глубины следования по ссылкам и числа допустимых одновременных запросов решает проблему.

В отношении серверов BIND, ISC предупреждает, что BIND 9.6 ESV и BIND 9.8 уже не поддерживаются. Организации должны проапгрейдиться на ближайшую поддерживаемую версию.

Как указано в сообщении, Nominum, Dnsmasq и djbdns проблеме не подвержены. Пока неизвестно, уязвимы ли серверы от Apple, Cisco, F5 Networks, GNU glibc и многие другие.

Рекурсивные серверы DNS устанавливаются интернет-провайдерами для того, чтобы повысить эффективность и производительность DNS-запросов. Иногда тем не менее открытые рекурсивые резолверы могут быть использованы во вред, в качестве стартовых площадок для DDoS-атак, так называемых атак с усилением. Эксперты утверждают, что хакеры могут использовать их для перегрузки целей мусорным трафиком, иногда с усилением более чем 100 к 1.

ISC также выпустила на этой неделе второе оповещение о проблемах, обнаруженных в функции GeoIP в BIND 9.10, которые могут вызвать остановку BIND с ошибкой «assertion failure» («ошибка добавления записи»).

«Две из них могут обрушить BIND — срабатывание любой из них может вызвать обрушение процесса с ошибкой добавления, что вызовет состояние отказа в обслуживании, — написала ISC в оповещении. — Третий дефект также скорректирован, он может привести к тому, что базы данных GeoIP не будут корректно загружаться при изменении их расположения во время работы BIND».

Категории: DoS-атаки, Уязвимости