elementary
July 5th, 2014, 00:17
یک آسیبپذیری قابل سوءاستفاده از راه دور در کارگزارهای سامانه نام دامنهی BIND که میتواند منجر به شرایط انسداد سرویس و از کار افتادن کارگزارها شود، روز گذشته توسط ISC وصله شده است. برای سوءاستفاده از این آسیبپذیری مهاجم باید یک درخواست ویژهی آلوده تولید کند که منجر به خطای assertion میشود و در نهایت شرایط حملات انسداد سرویس را فراهم میکند، نسخههای آسیبپذیر BIND از نسخهی 9.10.0 تا 9.10.0-P1 میباشند.
سوءاستفاده از این آسیبپذیری نیاز به هیچ احراز هویتی ندارد و هر دو نوع کارگزارهای مبتنی بر اعتبار و بازگشتی قابل استفاده است.
توصیهنامهای در روز گذشته توسط Jeremy Reed، یکی از مهندسان فروش و پشتیبانی منتشر شد که در آن توضیحات فنی در مورد آسیبپذیری مذکور با شناسهی CVE-2014-3859 موجود است و خطای امنیتی مربوط به کتابخانهی libdns به زبان C که مسئول ساخت درخواستهای DNS میباشد، و منجر به این آسیبپذیری میشود به طور کامل توضیح داده شده است.
با وجود اینکه هنوز هیچ روش سوءاستفادهی عمومی از این آسیبپذیری کشف نشده است، ISC همه کاربران را تشویق کرده است که نسخهی جدید یعنی 9.10.0-P2 (https://www.isc.org/downloads/) را دریافت کنند تا از خطرات احتمالی این آسیبپذیری در امان باشند.
منبع:
ThreatPost (https://threatpost.com/isc-patches-critical-dos-vulnerability-in-bind/106653)
سوءاستفاده از این آسیبپذیری نیاز به هیچ احراز هویتی ندارد و هر دو نوع کارگزارهای مبتنی بر اعتبار و بازگشتی قابل استفاده است.
توصیهنامهای در روز گذشته توسط Jeremy Reed، یکی از مهندسان فروش و پشتیبانی منتشر شد که در آن توضیحات فنی در مورد آسیبپذیری مذکور با شناسهی CVE-2014-3859 موجود است و خطای امنیتی مربوط به کتابخانهی libdns به زبان C که مسئول ساخت درخواستهای DNS میباشد، و منجر به این آسیبپذیری میشود به طور کامل توضیح داده شده است.
با وجود اینکه هنوز هیچ روش سوءاستفادهی عمومی از این آسیبپذیری کشف نشده است، ISC همه کاربران را تشویق کرده است که نسخهی جدید یعنی 9.10.0-P2 (https://www.isc.org/downloads/) را دریافت کنند تا از خطرات احتمالی این آسیبپذیری در امان باشند.
منبع:
ThreatPost (https://threatpost.com/isc-patches-critical-dos-vulnerability-in-bind/106653)