В популярной открытой реализации DNS-сервера BIND исправлены две уязвимости, позволявшие удаленно вызвать отказ в обслуживании. Обе проблемы представляют среднюю угрозу безопасности.
С помощью первой уязвимости (CVE-2018-5737) удаленный атакующий может вызвать операционные ошибки, в том числе отказ в обслуживании. Проблема затрагивает версии BIND 9.12.0 и 9.12.1, если конфигурация сервера позволяет отправлять рекурсивные запросы клиентам, а значение параметра max-stale-ttl отличное от ноля. Уязвимость исправлена в версии BIND 9.12.1-P2.
Вторую уязвимость (CVE-2018-5736) также можно проэксплуатировать удаленно, но только в случае, если злоумышленник сможет вызвать передачу зоны DNS. Проблема затрагивает версии BIND 9.12.0 и 9.12.1, и была исправлена в версии 9.12.1-P1. Тем не менее, пользователям необходимо установить обновление 9.12.1-P2, так как версия 9.12.1-P1 еще до анонса была отозвана в связи с обнаруженным дефектом.
Передача зоны DNS – вид транзакции DNS. Является одним из механизмов репликации баз DNS между серверами.

Источник: securitylab.ru