ASA-2019-00592 – ISC BIND: Um erro no código de minimização de QNAME pode fazer com que o BIND saia com uma falha

Um defeito no código adicionado para oferecer suporte à minimização de QNAME pode fazer com que o named saia com uma falha se um encaminhador retornar uma referência em vez de resolver a consulta.

ASA-2019-00591 – ISC BIND: Uma falha na verificação de validade da zona de espelho pode permitir que os dados da zona sejam falsificados

As zonas de espelhamento são um recurso BIND que permite aos servidores recursivos pré-armazenar em cache os dados da zona fornecidos por outros servidores. Uma zona de espelho é semelhante a uma zona do tipo secundário, exceto que seus dados estão sujeitos à validação DNSSEC antes de serem usados ​​em respostas, como se tivessem sido consultados por recursão tradicional e, quando os dados da zona de espelho não podem ser validados, o BIND volta a usar recursão tradicional em vez da zona de espelho. No entanto, um erro nas verificações de validade dos dados da zona de entrada pode permitir que um invasor no caminho substitua os dados da zona que foram validados por uma âncora de confiança configurada por dados falsificados de sua escolha. O recurso da zona de espelho é usado com mais frequência para servir uma cópia local da zona raiz. Se um invasor conseguir se inserir no caminho da rede entre um servidor recursivo usando uma zona de espelho e um servidor de nomes raiz, essa vulnerabilidade poderá ser usada para fazer com que o servidor recursivo aceite uma cópia de dados falsificados da zona raiz. Um invasor no caminho que consegue explorar com êxito essa vulnerabilidade pode substituir a zona espelhada (geralmente a raiz) por dados de sua própria escolha, ignorando efetivamente a proteção DNSSEC.

ASA-2019-00234 – BIND: Limitação de clientes TCP simultâneos é ineficaz

Por design, o BIND destina-se a limitar o número de clientes TCP que podem ser conectados a qualquer momento. O número de conexões permitidas é um parâmetro ajustável, se não definido, o padrão é um valor conservador para a maioria dos servidores. Infelizmente, o código destinado a limitar o número de conexões simultâneas contém um erro que pode ser explorado para aumentar o número de conexões simultâneas além desse limite.

ASA-2019-00233 – BIND: Supported Preview Edition pode sair com uma falha de declaração se nxdomain-redirect for usado

No BIND Supported Preview Edition, um erro no recurso nxdomain-redirect pode ocorrer em versões que suportam recursos do EDNS do Client Subnet (ECS). Nas versões que têm suporte ao ECS, a ativação de nxdomain-redirect provavelmente levará à saída do BIND devido a falha de declaração.

ASA-2019-00232 – BIND: Um erro no recurso de redirecionamento nxdomain pode fazer com que o BIND saia com uma falha de declaração INSIST em query.c

Um erro de programação no recurso nxdomain-redirect pode causar uma falha de declaração em query.c se o namespace alternativo usado por nxdomain-redirect for um descendente de uma zona que é servido localmente. O cenário mais provável em que isso pode ocorrer é se o servidor, além de executar o redirecionamento NXDOMAIN para clientes recursivos, também estiver veiculando uma cópia local da zona raiz ou usando o espelhamento para fornecer a zona raiz, embora outras configurações também sejam possíveis.