Internet Systems Consortium （ISC） 发布了 BIND 的安全更新，解决了可能被远程利用的 DoS 漏洞。攻击者可以利用这些漏洞来破坏 DNS 服务。

ISC 解决了四个高严重性漏洞（CVSS 评分为 7.5），分别跟踪为 CVE-2024-0760、CVE-2024-1737、CVE-2024-1975 和 CVE-2024-4076。

以下是美国网络安全机构CISA发布的公告中对上述问题的描述：

BIND 9 中的漏洞 CVE-2024-4076 在提供过时数据以及本地权威区域数据中的查找时，可导致断言失败。此问题会影响特定版本，包括 9.16.13 到 9.16.50、9.18.0 到 9.18.27、9.19.0 到 9.19.24、9.11.33-S1 到 9.11.37-S1、9.16.13-S1 到 9.16.50-S1 和 9.18.11-S1 到 9.18.27-S1。

BIND 9 中的漏洞 CVE-2024-1975 允许客户端通过发送 SIG（0） 签名的请求流来耗尽 CPU 资源，前提是服务器托管了“KEY”资源记录，或者解析器 DNSSEC 在缓存中验证了此类记录。该漏洞影响 BIND 9 版本 9.0.0 到 9.11.37、9.16.0 到 9.16.50、9.18.0 到 9.18.27、9.19.0 到 9.19.24、9.9.3-S1 到 9.11.37-S1、9.16.8-S1 到 9.16.49-S1 和 9.18.11-S1 到 9.18.27-S1

当解析器缓存或权威区域数据库包含同一主机名的许多资源记录 （RR） 时，可能会发生 BIND 9 中的性能问题（跟踪为 CVE-2024-1737）。该缺陷会影响内容的添加或更新以及客户端查询的处理。受影响的 BIND 9 版本包括 9.11.0 到 9.11.37、9.16.0 到 9.16.50、9.18.0 到 9.18.27、9.19.0 到 9.19.24 以及某些 9.11.4-S1、9.16.8-S1 和 9.18.11-S1 系列版本。

在 BIND 9 版本 9.18.1 到 9.18.27、9.19.0 到 9.19.24 和 9.18.11-S1 到 9.18.27-S1 中，存在一个被跟踪为 CVE-2024-0760 的漏洞，其中恶意客户端可以通过 TCP 发送大量 DNS 消息，从而可能在攻击期间破坏服务器的稳定性。一旦攻击停止，服务器就可以恢复。使用访问控制列表 （ACL） 无法缓解此问题

ISC 不知道这些漏洞的公开漏洞或在野外利用这些漏洞的攻击。