BDU:2021-00125: Уязвимость компонента tsig.c DNS-сервера BIND, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости

Уязвимость компонента tsig.c DNS-сервера BIND связана с недостатком использования функции assert(). Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., Fedora Project, Internet Systems Consortium, АО «Концерн ВНИИНС»

Наименование ПО

Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, OpenSUSE Leap, Fedora, BIND, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)

Версия ПО

  • 16.04 LTS (Ubuntu)
  • 1.5 «Смоленск» (Astra Linux Special Edition)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 12.04 ESM (Ubuntu)
  • 15.1 (OpenSUSE Leap)
  • 10.0 (Debian GNU/Linux)
  • 14.04 ESM (Ubuntu)
  • 31 (Fedora)
  • 19.10 (Ubuntu)
  • 32 (Fedora)
  • 20.04 LTS (Ubuntu)
  • 15.2 (OpenSUSE Leap)
  • от 9.12.0 до 9.12.4 включительно (BIND)
  • от 9.13.0 до 9.13.7 включительно (BIND)
  • от 9.0.0 до 9.11.18 включительно (BIND)
  • от 9.14.0 до 9.14.11 включительно (BIND)
  • 1.0 (ОС ОН «Стрелец»)

Тип ПО

Операционная система, Сетевое программное средство

Операционные системы и аппаратные платформы

Тип ошибки

Доступная функция assert()

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

19.05.2020

Базовый вектор уязвимости

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для bind9:
Обновление программного обеспечения до 1:9.16.4-1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета bind9) до 1:9.11.5.P4+dfsg-5.1+deb10u1 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета bind9) до 1:9.11.5.P4+dfsg-5.1+deb10u1 или более поздней версии
Или использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-10/msg00041.html
https://lists.opensuse.org/opensuse-security-announce/2020-10/msg00044.html

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4365-1
https://ubuntu.com/security/notices/USN-4365-2

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JKJXVBOKZ36ER3EUCR7VRB7WGHIIMPNJ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WOGCJS2XQ3SQNF4W6GLZ73LWZJ6ZZWZI/

Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Подмена при взаимодействии

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения