BIND servers that are configured to use TKEY-based authentication via GSS-API tokens are vulnerable to excessive memory consumption when receiving and processing maliciously-constructed packets. Typically these servers will be found in Active Directory integrated DNS deployments and/or Kerberos-secured DNS environments.
This issue affects BIND 9 versions 9.0.0 through 9.16.50, 9.18.0 through 9.18.48, 9.20.0 through 9.20.22, 9.21.0 through 9.21.21, 9.9.3-S1 through 9.16.50-S1, 9.18.11-S1 through 9.18.48-S1, and 9.20.9-S1 through 9.20.22-S1.
BIND DNS servers using TKEY-based GSS-API authentication are vulnerable to excessive memory consumption via maliciously-crafted packets, potentially causing denial of service. This affects multiple BIND 9 versions commonly deployed in Active Directory and Kerberos-integrated environments.
خادم BIND DNS المكون لاستخدام المصادقة المستندة إلى TKEY عبر رموز GSS-API يعاني من ثغرة في معالجة الحزم المصممة بشكل ضار. يمكن للمهاجمين استغلال هذه الثغرة لاستنزاف موارد الذاكرة بشكل مفرط مما يؤدي إلى رفض الخدمة. تؤثر هذه المشكلة بشكل أساسي على بيئات Active Directory المدمجة وبيئات DNS المحمية بـ Kerberos.
خوادم BIND DNS التي تستخدم المصادقة المستندة إلى TKEY عبر رموز GSS-API معرضة لاستهلاك الذاكرة المفرط من خلال حزم مصممة بشكل ضار. يؤثر هذا على إصدارات BIND 9 المتعددة المنتشرة بشكل شائع في بيئات Active Directory و Kerberos.
Immediately upgrade BIND to patched versions: 9.16.51 or later, 9.18.49 or later, 9.20.23 or later, 9.21.22 or later, or corresponding -S1 versions. If immediate patching is not possible, disable TKEY-based GSS-API authentication or implement network-level access controls to restrict DNS queries to trusted sources only.
قم بالترقية الفورية إلى إصدارات BIND المصححة: 9.16.51 أو أحدث، 9.18.49 أو أحدث، 9.20.23 أو أحدث، 9.21.22 أو أحدث، أو الإصدارات -S1 المقابلة. إذا لم يكن الترقية الفورية ممكنة، قم بتعطيل المصادقة المستندة إلى TKEY GSS-API أو تطبيق عناصر تحكم على مستوى الشبكة لتقييد استعلامات DNS للمصادر الموثوقة فقط.