Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Canonical›Дистрибутивubuntu

Bind9

Уязвимости

141

Эксплуатируемые

0

Макс. CVSS

10

Макс. EPSS

0.99995

Распределение по критичности

Критический

1

Высокий

68

Средний

63

Низкий

9

Также сопоставлено как (исходные строки): bind9

Топ уязвимостей

CVE-2008-0122Ошибка "off-by-one" в функции inet_network в libbind в ISC BIND 9.4.2 и более ранних версиях, используемая в libc во FreeBSD 6.2 через 7.0-PRERELEASE, позволяет злоумышленникам, зависящим от контекста, вызвать отказ в обслуживании (сбой) и, возможно, выполнить произвольный код через специально созданный ввод, который вызывает повреждение памяти.

CVE-2025-40780В BIND (версии 9.16.0‑9.16.50, 9.18.0‑9.18.39, 9.20.0‑9.20.13, 9.21.0‑9.21.12 и их ветки‑S1) обнаружена слабость генератора псевдослучайных чисел, позволяющая предсказать исходный порт и идентификатор запроса, используемые сервером. Это может быть использовано атакующим для более точного подбора ответов и обхода мер защиты. Подробнее см. источник [1]. Источники: - [1] https://kb.isc.org/docs/cve-2025-40780

CVE-2025-40778В некоторых конфигурациях BIND слишком снисходительно принимает ответы, позволяя злоумышленнику внедрять поддельные записи в кеш. Уязвимость затрагивает версии BIND 9 от 9.11.0 до 9.16.50, 9.18.0‑9.18.39, 9.20.0‑9.20.13, 9.21.0‑9.21.12 и соответствующие сервис‑пакеты [1]. Источники: - [1] https://kb.isc.org/docs/cve-2025-40778

CVE-2025-40776Кэширующий DNS-сервер 'named', настроенный для отправки ECS-опций (EDNS Client Subnet), может быть уязвим к атаке отравления кэша. Эта проблема затрагивает версии BIND 9 от 9.11.3-S1 до 9.16.50-S1, от 9.18.11-S1 до 9.18.37-S1 и от 9.20.9-S1 до 9.20.10-S1 [1]. Источники: - [1] https://kb.isc.org/docs/cve-2025-40776

CVE-2020-8616Злоумышленник, который намеренно использует отсутствие эффективного ограничения на количество извлечений, выполняемых при обработке перенаправлений, может с помощью специально созданных перенаправлений заставить рекурсивный сервер выполнить очень большое количество извлечений при попытке обработать перенаправление. Это имеет как минимум два потенциальных эффекта: производительность рекурсивного сервера может быть снижена из-за дополнительной работы, необходимой для выполнения этих извлечений, и злоумышленник может использовать это поведение для использования рекурсивного сервера в качестве отражателя в отражающей атаке с высоким коэффициентом усиления.

CVE-2018-5743По замыслу, BIND должен ограничивать количество TCP-клиентов, которые могут быть подключены в любой момент времени. Количество разрешенных подключений — это настраиваемый параметр, который, если он не установлен, по умолчанию имеет консервативное значение для большинства серверов. К сожалению, код, который должен был ограничивать количество одновременных подключений, содержал ошибку, которую можно было использовать для увеличения количества одновременных подключений сверх этого ограничения. Затронутые версии: BIND 9.9.0 -> 9.10.8-P1, 9.11.0 -> 9.11.6, 9.12.0 -> 9.12.4, 9.14.0. BIND 9 Supported Preview Edition версии 9.9.3-S1 -> 9.11.5-S3 и 9.11.5-S5. Версии 9.13.0 -> 9.13.7 ветки разработки 9.13 также затронуты. Версии до BIND 9.9.0 не оценивались на предмет уязвимости к CVE-2018-5743.

CVE-2016-1286named в ISC BIND 9.x до 9.9.8-P4 и 9.10.x до 9.10.3-P4 позволяет удаленным злоумышленникам вызвать отказ в обслуживании (сбой утверждения и выход демона) через специально созданную запись подписи для записи DNAME, связанную с db.c и resolver.c.

CVE-2021-25216В BIND 9.5.0 -> 9.11.29, 9.12.0 -> 9.16.13 и версиях BIND 9.11.3-S1 -> 9.11.29-S1 и 9.16.8-S1 -> 9.16.13-S1 BIND Supported Preview Edition, а также в релизных версиях 9.17.0 -> 9.17.1 ветки разработки BIND 9.17, серверы BIND уязвимы, если они работают под управлением затронутой версии и настроены на использование функций GSS-TSIG. В конфигурации, использующей настройки BIND по умолчанию, уязвимый путь кода не раскрывается, но сервер может стать уязвимым, если явно задать значения для параметров конфигурации tkey-gssapi-keytab или tkey-gssapi-credential. Хотя конфигурация по умолчанию не является уязвимой, GSS-TSIG часто используется в сетях, где BIND интегрирован с Samba, а также в средах со смешанными серверами, объединяющих серверы BIND с контроллерами домена Active Directory. Для серверов, соответствующих этим условиям, реализация ISC SPNEGO уязвима для различных атак, в зависимости от архитектуры ЦП, для которой был построен BIND: Для двоичных файлов named, скомпилированных для 64-битных платформ, этот недостаток можно использовать для запуска переполнения буфера, что приведет к сбою сервера. Для двоичных файлов named, скомпилированных для 32-битных платформ, этот недостаток можно использовать для запуска сбоя сервера из-за переполнения буфера, а также, возможно, для достижения удаленного выполнения кода. Мы определили, что стандартные реализации SPNEGO доступны в библиотеках MIT и Heimdal Kerberos, которые поддерживают широкий спектр операционных систем, что делает реализацию ISC ненужной и устаревшей. Поэтому, чтобы уменьшить поверхность атаки для пользователей BIND, мы удалим реализацию ISC SPNEGO в апрельских выпусках BIND 9.11 и 9.16 (она уже была удалена из BIND 9.17). Обычно мы не удаляем что-либо из стабильной ESV (Extended Support Version) BIND, но поскольку системные библиотеки могут заменить реализацию ISC SPNEGO, мы сделали исключение в этом случае из соображений стабильности и безопасности.

CVE-2020-8625Серверы BIND уязвимы, если они работают под управлением затронутой версии и настроены на использование функций GSS-TSIG. В конфигурации, использующей настройки BIND по умолчанию, уязвимый путь кода не раскрыт, но сервер может быть признан уязвимым, явно установив допустимые значения для параметров конфигурации tkey-gssapi-keytab или tkey-gssapi-credential. Хотя конфигурация по умолчанию не является уязвимой, GSS-TSIG часто используется в сетях, где BIND интегрирован с Samba, а также в средах со смешанными серверами, которые объединяют серверы BIND с контроллерами домена Active Directory. Наиболее вероятным результатом успешной эксплуатации уязвимости является сбой процесса named. Однако удаленное выполнение кода, хотя и не доказано, теоретически возможно. Затрагивает: BIND 9.5.0 -> 9.11.27, 9.12.0 -> 9.16.11 и версии BIND 9.11.3-S1 -> 9.11.27-S1 и 9.16.8-S1 -> 9.16.11-S1 BIND Supported Preview Edition. Также версии выпуска 9.17.0 -> 9.17.1 ветки разработки BIND 9.17.

CVE-2011-2465Неуказанная уязвимость в ISC BIND 9 9.8.0, 9.8.0-P1, 9.8.0-P2 и 9.8.1b1, когда рекурсия включена, а Response Policy Zone (RPZ) содержит DNAME или определенные записи CNAME, позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой демона named) через неуказанный запрос.

CVE-2008-4163Неуказанная уязвимость в ISC BIND 9.3.5-P2-W1, 9.4.2-P2-W1 и 9.5.0-P2-W1 в Windows позволяет удаленным злоумышленникам вызывать отказ в обслуживании (завершение обработчика UDP-клиента) через неизвестные векторы.

CVE-2025-8677В BIND 9 обнаружена уязвимость, позволяющая вызвать исчерпание процессорных ресурсов (CPU exhaustion) при запросе к специально сформированной зоне, содержащей некорректные записи DNSKEY. Уязвимость затрагивает версии 9.18.0‑9.18.39, 9.20.0‑9.20.13, 9.21.0‑9.21.12, а также их версии‑S1 (9.18.11‑S1‑9.18.39‑S1, 9.20.9‑S1‑9.20.13‑S1). Подробности см. в источнике [1]. Источники: - [1] https://kb.isc.org/docs/cve-2025-8677

CVE-2025-40777Если кэширующий резолвер `named` настроен с `serve-stale-enable` `yes` и `stale-answer-client-timeout` установлен в `0` (единственное допустимое значение, кроме `disabled`), и если резолвер при разрешении запроса встречает цепочку CNAME, включающую определенное сочетание кэшированных или авторитетных записей, демон аварийно завершится с ошибкой утверждения. Эта проблема затрагивает версии BIND 9: 9.20.0-9.20.10, 9.21.0-9.21.9 и 9.20.9-S1-9.20.10-S1 [1]. Источники: - [1] https://kb.isc.org/docs/cve-2025-40777

CVE-2025-40775При получении DNS-сообщения с Transaction Signature (TSIG), BIND всегда проверяет его. Если TSIG содержит недопустимое значение в поле алгоритма, BIND немедленно аварийно завершает работу с ошибкой подтверждения. Эта проблема затрагивает версии BIND 9 от 9.20.0 до 9.20.8 и от 9.21.0 до 9.21.7 [1]. Источники: - [1] https://kb.isc.org/docs/cve-2025-40775

CVE-2025-13878Искаженные записи BRID/HHIT могут привести к неожиданному прекращению `named. Эта проблема затрагивает версии BIND 9 с 9.18.40 до 9.18.43, 9.20.13 до 9.20.17, 9.21.12 - 9.21.16, 9.18.40-S1 - 9.18.43-S1, и 9.20.13-S1 - 9.20.17-S1.

CVE-2024-4076Клиентские запросы, которые приводят к выдаче устаревших данных и также требуют поиска в локальных авторитетных данных зон, могут привести к сбою утверждения. Эта проблема затрагивает версии BIND 9 с 9.16.13 по 9.16.50, 9.18.0 по 9.18.27, 9.19.0 по 9.19.24, 9.11.33-S1 по 9.11.37-S1, 9.16.13-S1 по 9.16.50-S1 и 9.18.11-S1 по 9.18.27-S1.

CVE-2024-1975Если сервер хостит зону, содержащую ресурсную запись "KEY", или резолвер DNSSEC проверяет ресурсную запись "KEY" из кэша DNSSEC-подписанного домена, клиент может исчерпать ресурсы ЦП резолвера, отправив поток запросов, подписанных SIG(0). Эта проблема затрагивает версии BIND 9 с 9.0.0 по 9.11.37, с 9.16.0 по 9.16.50, с 9.18.0 по 9.18.27, с 9.19.0 по 9.19.24, с 9.9.3-S1 по 9.11.37-S1, с 9.16.8-S1 по 9.16.49-S1 и с 9.18.11-S1 по 9.18.27-S1.

CVE-2024-1737Кэши резолверов и авторитетные зоновые базы данных, которые содержат значительное количество RR для одного и того же имени хоста (любого RTYPE), могут страдать от ухудшения производительности, когда содержимое добавляется или обновляется, а также при обработке клиентских запросов на это имя. Эта проблема затрагивает версии BIND 9 с 9.11.0 по 9.11.37, с 9.16.0 по 9.16.50, с 9.18.0 по 9.18.27, с 9.19.0 по 9.19.24, с 9.11.4-S1 по 9.11.37-S1, с 9.16.8-S1 по 9.16.50-S1 и с 9.18.11-S1 по 9.18.27-S1.

CVE-2024-12705Клиенты, использующие DNS через HTTPS (DoH), могут исчерпать ресурсы ЦП и/или памяти DNS-резолвера, затопив его созданным действительным или недействительным HTTP/2-трафиком. Эта проблема затрагивает версии BIND 9 с 9.18.0 по 9.18.32, с 9.20.0 по 9.20.4, с 9.21.0 по 9.21.3, а также с 9.18.11-S1 по 9.18.32-S1.

CVE-2024-11187Возможно создать зону таким образом, что некоторые запросы к ней будут генерировать ответы, содержащие многочисленные записи в дополнительном разделе. Злоумышленник, отправляющий много таких запросов, может заставить либо авторитетный сервер, либо независимый резолвер использовать непропорциональные ресурсы для обработки запросов. Зоны обычно должны быть целенаправленно созданы для атаки на эту уязвимость. Эта проблема затрагивает версии BIND 9 с 9.11.0 по 9.11.37, с 9.16.0 по 9.16.50, с 9.18.0 по 9.18.32, с 9.20.0 по 9.20.4, с 9.21.0 по 9.21.3, с 9.11.3-S1 по 9.11.37-S1, с 9.16.8-S1 по 9.16.50-S1 и с 9.18.11-S1 по 9.18.32-S1.

CVE-2024-0760Вредоносный клиент может отправить много DNS сообщений по TCP, потенциально вызывая нестабильность сервера во время нападения. Сервер может восстановиться после прекращения атаки. Использование ACL не смягчит атаку. Эта проблема затрагивает BIND 9 версии 9.18.1 до 9.18.27, 9.19.0 до 9.19.24 и 9.18.11-S1 до 9.18.27-S1.

CVE-2023-6516Чтобы поддерживать эффективность своей кэш-базы данных, `named`, работающий как рекурсивный резольвер, время от времени пытается очистить базу данных. Он использует несколько методов, включая некоторые, которые асинхронны: сначала выделяется небольшой участок памяти, указывающий на элемент кэша, который может быть очищен, а затем ставится в очередь для последующей обработки. Было обнаружено, что если резольвер постоянно обрабатывает шаблоны запросов, вызывающие подобное обслуживание кэш-базы, `named` может не справляться с событиями очистки вовремя. Это, в свою очередь, позволяет список поставленных в очередь событий очистки расти без конца с течением времени, что позволяет значительно превысить установленный лимит `max-cache-size`. Эта проблема затрагивает версии BIND 9 с 9.16.0 по 9.16.45 и 9.16.8-S1 по 9.16.45-S1.

CVE-2023-5679Плохое взаимодействие между DNS64 и serve-stale может вызвать сбой `named` с сбоем утверждения во время рекурсивного разрешения, когда оба этих параметра включены. Эта проблема затрагивает версии BIND 9 с 9.16.12 по 9.16.45, 9.18.0 по 9.18.21, 9.19.0 по 9.19.19, 9.16.12-S1 по 9.16.45-S1 и 9.18.11-S1 по 9.18.21-S1.

CVE-2023-5517Ошибка в коде обработки запроса может вызвать преждевременный выход `named` с сбоем утверждения, когда: - настроен `nxdomain-redirect <domain>;`, и - резолвер получает запрос PTR для адреса RFC 1918, который обычно приводит к авторитетному ответу NXDOMAIN. Эта проблема затрагивает версии BIND 9 с 9.12.0 по 9.16.45, 9.18.0 по 9.18.21, 9.19.0 по 9.19.19, 9.16.8-S1 по 9.16.45-S1 и 9.18.11-S1 по 9.18.21-S1.

CVE-2023-50868Аспект Closest Encloser Proof протокола DNS (в RFC 5155, когда руководство RFC 9276 пропущено) позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление ЦП для вычислений SHA-1) через ответы DNSSEC в атаке случайного поддомена, также известной как проблема "NSEC3". Спецификация RFC 5155 подразумевает, что алгоритм должен выполнять тысячи итераций хеш-функции в определенных ситуациях.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →