В развиваемой проектом GNU библиотеке для выполнения DNS-запросов adns выявлено 7 уязвимостей, из которых четыре проблемы (CVE-2017-9103, CVE-2017-9104, CVE-2017-9105, CVE-2017-9109) могут использоваться для совершения атаки для удалённого выполнения кода в системе. Остальные три уязвимости приводят к отказу в обслуживании через вызов краха приложения, использующего adns.
Пакет adns включает в себя Си-библиотеку и набор утилит для выполнения DNS-запросов в асинхронном режиме или с использованием событийно-ориентированной модели (Event-driven). Проблемы устранены в выпусках 1.5.2 и 1.6.0. Уязвимости позволяют атаковать приложения, вызывающие функции adns, через отдачу рекурсивным DNS-сервером специально оформленного ответа или полей SOA/RP.
|