WAITING

January 31th, 2023
Software Financial Services Cybersecurity Aerospace Agriculture Chemical Construction Defense Education Energy Finance Government Healthcare Hospitality Manufacturing Media NGO Retail Semiconductor Technology Telecommunications Transportation Views 20
ISC ได้เผยแพร่ Patch เพื่อแก้ไขช่องโหว่บนซอฟต์แวร์ BIND !!

    Internet Systems Consortium หรือ ISC ได้ออก Patch เพื่อแก้ไขช่องโหว่บนซอฟต์แวร์ BIND จำนวนมาก ที่อาจทำให้ผู้ไม่ประสงค์ดีจากระยะไกลสามารถใช้ประโยชน์จากช่องโหว่เพื่อทำให้เกิดเงื่อนไขการโจมตีแบบ Denial-of-Service (DoS) ซึ่งซอฟต์แวร์ดังกล่าวถูกใช้โดยบริษัทการเงินรายใหญ่ ผู้ให้บริการระดับชาติและนานาชาติ ผู้ให้บริการอินเทอร์เน็ต (ISP) สถาบันการศึกษา และหน่วยงานรัฐบาล 

ช่องโหว่ทั้ง 4 รายการมีความรุนแรงอยู่ที่ CVSS 7.5 ได้แก่

- CVE-2022-3094 - การ Flood ด้วยการส่งคำขอ UPDATE ไปยังเซิร์ฟเวอร์เป้าหมาย ทำให้ผู้ไม่ประสงค์ดีสามารถใช้หน่วยความจำที่มีอยู่ทั้งหมดบนเซิร์ฟเวอร์ได้

- CVE-2022-3488 - BIND Supported Preview Edition อาจสิ้นสุดลง เมื่อมีการประมวลผล ECS ในการตอบกลับข้อความค้นหาซ้ำ ๆ

- CVE-2022-3736 – การกำหนดค่าชื่อเพื่อโต้ตอบจากแคชเก่าอาจสิ้นสุดลง ขณะทำการประมวลผลคำขอ RRSIG 

- CVE-2022-3924 – การกำหนดค่าชื่อเพื่อโต้ตอบจากแคชเก่าอาจสิ้นสุดลงที่ Soft quota แบบ Recursive clients

    หากผู้ไม่ประสงค์ดีทำการโจมตีสำเร็จอาจส่งผลทำให้บริการขัดข้อง หรือ สามารถใช้หน่วยความจำที่มีอยู่ทั้งหมดบนเซิร์ฟเวอร์ได้ ซึ่งช่องโหว่ดังกล่าวส่งผลต่อเวอร์ชัน 9.16.0 ถึง 9.16.36, 9.18.0 ถึง 9.18.10, 9.19.0 ถึง 9.19.8 และ 9.16.8-S1 ถึง 9.16.36-S1 และ CVE-2022-3488 ยังส่งผลต่อ BIND Supported Preview Edition เวอร์ชัน 9.11.4-S1 ถึง 9.11.37-S1 แต่ได้รับการแก้ไขแล้วในเวอร์ชัน 9.16.37, 9.18.11, 9.19.9 และ 9.16.37-S1

คำแนะนำ 

- ทำการอัปเกรดเป็นเวอร์ชันล่าสุดโดยเร็วที่สุดเพื่อลดภัยคุกคามที่อาจเกิดขึ้น


Ref : https://thehackernews.com/2023/01/isc-releases-security-patches-for-new.html