Первоисточник: https://www.freebsd.org/security/advisories/FreeBSD-SA-16:34.bind.asc
 
Тема: Уязвимость BIND к удаленной DoS атаке.
Категория: contrib
Модуль: bind
Анонсировано: 02.11.2016
Благодарности: ISC
Влияет на: FreeBSD 9.x
Исправлено в: 2016-11-02 05:13:27 UTC (stable/9, 9.3-STABLE)
2016-11-02 07:24:34 UTC (releng/9.3, 9.3-RELEASE-p50)
CVE ID: CVE-2016-8864
 
Для получения общей информации о рекомендациях по безопасности FreeBSD, посетите https://security.FreeBSD.org/.
 
I. Общая информация
 
BIND 9 это реализация протокола DNS (системы доменных имен). Демон named — это сервер доменных имен.
 
II. Описание проблемы
 
Дефект в BIND при обработке DNAME ответов, может привести к ошибке «assertion failure» в db.c или resolver.c и завершить работу dns-клиента.
 
При обработке рекурсивного ответа, содержащего DNAME запись, в resolver.c может возникнуть ошибка «assertion failure», что может привести к остановке BIND.
 
III. Влияние
 
Злоумышленник, который может удаленно послать на сервер запрос, который приведет к ошибке «assertion failure», может остановить демон named, что в результате приведет к отказу доступа к сервису для клиентов (DoS-атака).
 
IV. Временное решение
 
Временных решений нет, однако системы, не запускающие рекурсивные серверы named, не подвержены этой уязвимости.
 
V. Решение
 
Выполните одно из следующих действий:
 
1) Обновите вашу систему до поддерживаемой FreeBSD stable или release / releng версии, выпущенной датой после устранения уязвимости.
 
Сервис named должен быть перезапущен после обновления. Перезагрузка рекомендуется, но не обязательна.
 
2) Обновите систему бинарными патчами:
 
Системы с RELEASE версией FreeBSD на i386 и amd64 платформах могут быть обновлены утилитой freebsd-update.

# freebsd-update fetch
# freebsd-update install

Сервис named должен быть перезапущен после обновления. Перезагрузка рекомендуется, но не обязательна.
 
3) Обновите систему при помощи исходного кода патча:
 
Ниже указанные патчи будут добавлены в релизные ветки FreeBSD.
 
а) Загрузите соответствующий патч, используя ниже приведенные ссылки и проверьте PGP подпись, используя вашу утилиту PGP.

# fetch https://security.FreeBSD.org/patches/SA-16:34/bind.patch
# fetch https://security.FreeBSD.org/patches/SA-16:34/bind.patch.asc
# gpg --verify bind.patch.asc

b) Примените патч, используя следующие команды под пользователем root:

# cd /usr/src
# patch < /path/to/patch

с) Перекомпилируйте операционную систему, используя buildworld и installworld, как описанно в https://www.FreeBSD.org/handbook/makeworld.html.
 
Перезапустите сервис named, или перезагрузите систему.
 
VI. Сведения об исправлении
 
Список ниже содержит номера ревизий каждой из уязвимых ветвей FreeBSD.

Ветвь                                                             Ревизия
- -------------------------------------------------------------------------
stable/9/                                                         r308193
releng/9.3/                                                       r308205
- -------------------------------------------------------------------------

Чтобы узнать, какие файлы были изменены в конкретной ревизии, запустите на машине с установленным Subversion указанную ниже команду, заменив NNNNNN на номер ревизии.

# svn diff -cNNNNNN --summarize svn://svn.freebsd.org/base

Или посетите следующий URL, заменив NNNNNN на номер ревизии:

URL: https://svnweb.freebsd.org/base?view=revision&revision=NNNNNN

VII. Рекомендации
 
https://kb.isc.org/article/AA-01434/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8864