Multiple flaws have been identified in `named` related to the handling of DNS messages whose CLASS is not Internet (`IN`) — for example, `CHAOS` or `HESIOD`, or DNS messages that specify meta-classes (`ANY` or `NONE`) in the question section. Specially crafted requests reaching the affected code paths — recursion, dynamic updates (`UPDATE`), zone change notifications (`NOTIFY`), or processing of `IN`-specific record types in non-`IN` data — can cause assertion failures in `named`.
This issue affects BIND 9 versions 9.11.0 through 9.16.50, 9.18.0 through 9.18.48, 9.20.0 through 9.20.22, 9.21.0 through 9.21.21, 9.11.3-S1 through 9.16.50-S1, 9.18.11-S1 through 9.18.48-S1, and 9.20.9-S1 through 9.20.22-S1.
BIND DNS server versions 9.11-9.21 contain multiple flaws in handling non-Internet class DNS messages that can trigger assertion failures and cause denial of service. Specially crafted DNS requests targeting recursion, dynamic updates, zone notifications, or specific record types can crash the named daemon.
تؤثر هذه الثغرة على خوادم BIND DNS عند معالجة رسائل DNS التي تستخدم فئات غير الإنترنت مثل CHAOS أو HESIOD أو الفئات الوصفية ANY و NONE. يمكن لمهاجم بعث طلبات DNS مصممة خصيصاً لتفعيل مسارات كود معينة مثل العودية أو التحديثات الديناميكية مما يسبب فشل التأكيد وإيقاف الخدمة.
خادم BIND DNS الإصدارات 9.11-9.21 تحتوي على عيوب متعددة في معالجة رسائل DNS غير الفئة الإنترنت التي قد تسبب فشل التأكيد وحجب الخدمة. يمكن لطلبات DNS المصممة خصيصاً استهداف العودية والتحديثات الديناميكية وإشعارات المنطقة أو أنواع السجلات المحددة لإيقاف خادم named.
Upgrade BIND to patched versions: 9.16.51 or later, 9.18.49 or later, 9.20.23 or later, 9.21.22 or later, or corresponding -S1 versions. Implement network-level filtering to restrict DNS queries from untrusted sources. Monitor DNS logs for unusual non-IN class queries and implement rate limiting on recursive queries.
قم بترقية BIND إلى الإصدارات المصححة: 9.16.51 أو أحدث، 9.18.49 أو أحدث، 9.20.23 أو أحدث، 9.21.22 أو أحدث، أو الإصدارات -S1 المقابلة. طبق تصفية على مستوى الشبكة لتقييد استعلامات DNS من مصادر غير موثوقة. راقب سجلات DNS بحثاً عن استعلامات فئة non-IN غير العادية وطبق تحديد معدل على الاستعلامات العودية.