CISA, Popüler BIND 9 DNS Yazılımındaki Sömürülebilir Güvenlik Açıkları Konusunda Uyardı
Internet Sistemleri Konsorsiyumu (ISC), Berkeley Internet Name Domain (BIND) 9 Domain Name System (DNS) yazılım paketinde bir hizmet reddi (DoS) koşulunu tetiklemek için kullanılabilecek birden çok güvenlik açığını gidermek için yamalar yayınladı.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) bir danışma belgesinde, "Bir siber tehdit aktörü, hizmet reddi durumuna neden olmak için bu güvenlik açıklarından birini kullanabilir" dedi.
Dört güvenlik açığının listesi aşağıda listelenmiştir -
- CVE-2024-4076 (CVSS puanı: 7,5) - Bir mantık hatası nedeniyle, eski verilerin sunulmasını tetikleyen aramalar ve yerel yetkili bölge verilerinde gerekli aramalar bir onaylama hatasıyla sonuçlanabilirdi
- CVE-2024-1975 (CVSS puanı: 7,5) - SIG(0) protokolü kullanılarak imzalanan DNS iletilerinin doğrulanması aşırı CPU yüküne neden olarak hizmet reddi durumuna yol açabilir.
- CVE-2024-1737 (CVSS puanı: 7,5) - Belirli bir sahip adı için aşırı sayıda kaynak kaydı türü oluşturmak mümkündür ve bu da veritabanı işlemeyi yavaşlatma etkisine sahiptir
- CVE-2024-0760 (CVSS puanı: 7,5) - TCP üzerinden çok sayıda sorgu gönderen ancak yanıtları hiç okumayan kötü amaçlı bir DNS istemcisi, sunucunun diğer istemciler için yavaş yanıt vermesine veya hiç yanıt vermemesine neden olabilir
Yukarıda belirtilen hatalardan başarılı bir şekilde yararlanılması, adlandırılmış bir örneğin beklenmedik şekilde sonlandırılmasına, kullanılabilir CPU kaynaklarının tükenmesine, sorgu işlemenin 100 kat yavaşlamasına ve sunucunun yanıt vermemesine neden olabilir.
Kusurlar, bu ayın başlarında yayınlanan BIND 9 sürüm 9.18.28, 9.20.0 ve 9.18.28-S1'de giderildi. Eksikliklerden herhangi birinin vahşi doğada sömürüldüğüne dair bir kanıt yoktur.
Açıklama, ISC'nin BIND 9'da KeyTrap (CVE-2023-50387, CVSS puanı: 7.5) adlı ve CPU kaynaklarını tüketmek ve DNS çözümleyicilerini durdurmak için kötüye kullanılabilecek ve hizmet reddi (DoS) ile sonuçlanabilecek başka bir kusuru ele almasından aylar sonra geldi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor
GFI KerioControl'deki kritik RCE kusuru, CRLF enjeksiyonu yoluyla uzaktan kod yürütülmesine izin verir
CISA, Aktif Sömürünün Ortasında Mitel ve Oracle Sistemlerindeki Kritik Kusurları İşaretledi
Araştırmacılar Illumina iSeq 100 DNA Dizileyicilerindeki Büyük Güvenlik Açığını Ortaya Çıkardı
Moxa, kullanıcıları hücresel ve güvenli yönlendiricilerdeki yüksek önem derecesine sahip güvenlik açıklarına karşı uyarır
Araştırmacılar, imza atlama ve kod yürütmeyi sağlayan çekirdek güvenlik açığını ortaya çıkardı