BDU:2020-03950: Уязвимость DNS-сервера BIND, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости

Уязвимость DNS-сервера BIND связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Red Hat Inc., Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Fedora Project, Internet Systems Consortium, АО «Концерн ВНИИНС», ООО «Юбитех»

Версия ПО

  • 6 (Red Hat Enterprise Linux)
  • 7 (Red Hat Enterprise Linux)
  • 6.5 Advanced Update Support (Red Hat Enterprise Linux)
  • 6.6 Advanced Update Support (Red Hat Enterprise Linux)
  • 16.04 LTS (Ubuntu)
  • 1.5 «Смоленск» (Astra Linux Special Edition)
  • 9 (Debian GNU/Linux)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 12.04 ESM (Ubuntu)
  • 8 (Red Hat Enterprise Linux)
  • 14.04 ESM (Ubuntu)
  • 8 (Debian GNU/Linux)
  • 10 (Debian GNU/Linux)
  • 31 (Fedora)
  • 9.13.0 (BIND)
  • 19.10 (Ubuntu)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 32 (Fedora)
  • 8.0 Update Services for SAP Solutions (Red Hat Enterprise Linux)
  • 20.04 LTS (Ubuntu)
  • 8.1 Extended Update Support (Red Hat Enterprise Linux)
  • 7.7 Extended Update Support (Red Hat Enterprise Linux)
  • от 9.0.0 до 9.11.18 включительно (BIND)
  • от 9.12.0 до 9.12.4-P2 включительно (BIND)
  • от 9.14.0 до 9.14.11 включительно (BIND)
  • от 9.16.0 до 9.16.2 включительно (BIND)
  • от 9.17.0 до 9.17.1 включительно (BIND)
  • 9.15 (BIND)
  • от 9.9.3-S1 до 9.11.18-S1 включительно (Supported Preview Edition) (BIND)
  • 1.0 (ОС ОН «Стрелец»)
  • до 21.01 (UBLinux)

Тип ПО

Операционная система, Сетевое программное средство

Операционные системы и аппаратные платформы

Тип ошибки

Неконтролируемый расход ресурса («Истощение ресурса»)

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

19.05.2020

Базовый вектор уязвимости

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для DNS-сервера BIND:
https://kb.isc.org/docs/cve-2020-8616

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-8616

Для Ubuntu:
https://usn.ubuntu.com/4365-1/
https://usn.ubuntu.com/4365-2/

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/05/msg00031.html
https://www.debian.org/security/2020/dsa-4689

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JKJXVBOKZ36ER3EUCR7VRB7WGHIIMPNJ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WOGCJS2XQ3SQNF4W6GLZ73LWZJ6ZZWZI/

Для Astra Linux:
Обновление программного обеспечения (пакета bind9) до 1:9.11.5.P4+dfsg-5.1+deb10u1 или более поздней версии
И использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81


Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для UBLinux:

https://security.ublinux.ru/ASA-202005-13/generate

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Способ эксплуатации

  • Исчерпание ресурсов

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения