December 06, 2019

Language:

CamSA19-53: The Internet Systems Consortium (ISC) បញ្ចេញការអាត់ដេតសន្តិសុខលើកម្មវិធី BIND

១.ព័ត៌មានទូទៅ

ភ្នាក់ងារ Internet Systems Consortium (ISC) បានធ្វើការចេញផ្សាយការអាត់ដេតសន្តិសុខនៅលើកម្មវិធី BIND ដែលជាកម្មវិធីពេញនិយមមួយប្រើប្រាស់នៅលើម៉ាស៊ីនកុំព្យូទ័រមេ DNS (DNS server)។ ការចេញផ្សាយចំនុចចំនួន ១ ដើម្បីជួសជុលកំហុសឆ្គងកម្រិតធ្ងន់ធ្ងរមធ្យមដែលកើតមាន។ ចំនុចខ្សោយនេះអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារអាចបង្កឱ្យម៉ាស៊ីនមេមិនអាចផ្តល់សេវាបាន

២.ផលប៉ះពាល់

CVE-2019-6477: (កម្រិតធ្ងន់ធ្ងរមធ្យម): ចំនុចខ្សោយនេះកើតមាននៅលើ  TCP-pipelining ដោយអ្នកវាយប្រហារពីចម្ងាយធ្វើការទាមទារ (queries) តាមរយៈ TCP-piplining ក្នុងទម្រង់ដ៏ច្រើនមួយទៅកាន់ម៉ាសីនកុំព្យូទ័រមេ DNS បង្ករឱ្យម៉ាស៊ីកុំព្យូទ័រមេប្រើប្រាស់ធនធានហួសប្រក្រតី ជាហេតុអាចធ្វើឱ្យដំណើរការមានសភាពយឹត ឬមិនអាចផ្តល់សេវាបាន។ ព័ត៌មានលម្អិតបន្ថែមសូមចូលទៅកាន់ https://kb.isc.org/docs/cve-2019-6477 ។

កំណែកម្មវិធីដែលប៉ះពាល់

  • កម្មវិធី BIND កំណែ 9.11.6-P1 ដល់ 9.11.12
  • កម្មវិធី BIND កំណែ 9.12.4-P1 ដល់ 9.12.4-P2
  • កម្មវិធី BIND កំណែ 9.14.1 ដល់ 9.14.7
  • កម្មវិធី BIND កំណែ 9.11.5-S6  និង ​BIND 9.15.0 ដែលស្ថិតក្នុងការអភិវឌ្ឍន៍ និង
  • កម្មវិធី BIND Supported Preview Edition កំណែ 9.11.5-S6 ដល់ 9.11.12-S1
  • កម្មវិធី BIND development branch កំណែ 9.15.0 ដល់ 9.15.5

៣.ផលវិបាក

អ្នកវាយប្រហារអាចធ្វើការវាយលុកទៅកាន់ចំនុចខ្សោយនោះ ដើម្បីបង្ករជាការរំខានដល់ប្រព័ន្ធមិនឱ្យដំណើរការបាន។

៤.អនុសាសន៍

អ្នកប្រើប្រាស់ ក៏ដូចជាអភិបាលគ្រប់គ្រងប្រព័ន្ធគួរធ្វើការអាប់ដេតជាបន្ទាន់។

៥.ឯកសារពាក់ព័ន្ធ