September 23, 2020

Language:

CamSA20-53: The Internet Systems Consortium (ISC) បញ្ចេញការអាត់ដេតសន្តិសុខលើកម្មវិធី BIND

១.ព័ត៌មានទូទៅ

ភ្នាក់ងារ Internet Systems Consortium (ISC) បាន​ចេញ​សេចក្តី​ណែនាំសន្តិសុខ​អំពីការធ្វើបច្ចុប្បន្នភាពទៅលើភាពងាយរងគ្រោះ ដើម្បីជួសជុល បិទចន្លោះប្រហោង ​ (ចំនុចខ្សោយ) ​មាន​នៅ​ក្នុង​កម្មវិធី BIND ដែលជាកម្មវិធីពេញនិយមមួយប្រើប្រាស់នៅលើម៉ាស៊ីនកុំព្យូទ័រមេ DNS (DNS server)។ ចំណុចខ្សោយមានដូចខាងក្រោម​៖

CVE-2020-8620, CVE-2020-8621,CVE-2020-8622, CVE-2020-8623, CVE-2020-8624: អ្នកវាយប្រហារពីចម្ងាយវាយលុកចំណុចខ្សោយទាំងនេះអាចបង្កឱ្យមាន Denial of Service (DoS)។

២.ផលប៉ះពាល់

CVE-2019-6477: (កម្រិតធ្ងន់ធ្ងរមធ្យម): ចំនុចខ្សោយនេះកើតមាននៅលើ  TCP-pipelining ដោយអ្នកវាយប្រហារពីចម្ងាយធ្វើការទាមទារ (queries) តាមរយៈ TCP-piplining ក្នុងទម្រង់ដ៏ច្រើនមួយទៅកាន់ម៉ាសីនកុំព្យូទ័រមេ DNS បង្ករឱ្យម៉ាស៊ីកុំព្យូទ័រមេប្រើប្រាស់ធនធានហួសប្រក្រតី ជាហេតុអាចធ្វើឱ្យដំណើរការមានសភាពយឹត ឬមិនអាចផ្តល់សេវាបាន។ ព័ត៌មានលម្អិតបន្ថែមសូមចូលទៅកាន់ https://kb.isc.org/docs/cve-2019-6477 ។

កំណែកម្មវិធីដែលប៉ះពាល់

  • កម្មវិធី BIND កំណែ 9.16.x ចាប់ពី 9.16.0 ដល់ 9.16.5
  • កម្មវិធី BIND កំណែ 9.14.x ចាប់ពី 9.14.0 ដល់ 9.14.12
  • កម្មវិធី BIND កំណែ 9.11.x ចាប់ពី 9.11.0 ដល់ 9.11.21
  • កម្មវិធី BIND 9 Supported Preview Edition ចាប់ពី 9.9.3-S1 ដល់ 9.11.21-S1

៣.ផលវិបាក

អ្នកវាយប្រហារពីចម្ងាយវាយលុកចំណុចខ្សោយទាំងនេះអាចបង្កឱ្យមាន Denial of Service (DoS)។

៤.អនុសាសន៍

អ្នកប្រើប្រាស់ ក៏ដូចជាអភិបាលគ្រប់គ្រងប្រព័ន្ធគួរធ្វើការអាប់ដេតជាបន្ទាន់។​ សូមធ្វើការអាប់ដេតទៅកាន់កម្មវិធីដែលមានកំណែដូចខាងក្រោម៖

  • BIND 9.11.22
  • BIND 9.16.6
  • BIND 9.17.4
  • BIND Supported Preview Edition 9.11.22-S1

៥.ឯកសារពាក់ព័ន្ធ

  • https://kb.isc.org/docs/cve-2020-8620
  • https://kb.isc.org/docs/cve-2020-8621
  • https://kb.isc.org/docs/cve-2020-8622
  • https://kb.isc.org/docs/cve-2020-8623
  • https://kb.isc.org/docs/cve-2020-8624
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.