BDU:2021-02773: Уязвимость компонента GSS-TSIG сервера BIND, связанная с записью за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость компонента GSS-TSIG сервера BIND связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданного запроса
Вендор ООО «РусБИТех-Астра», Novell Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», Internet Systems Consortium, АО «Концерн ВНИИНС», АО "НППКТ"
Наименование ПО Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE Linux Enterprise Server for SAP Applications, Debian GNU/Linux, Suse Linux Enterprise Server, SUSE Linux Enterprise Point of Sale, SUSE OpenStack Cloud, РЕД ОС (запись в едином реестре российских программ №3751), HPE Helion Openstack, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), BIND, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 12 SP2-BCL (Suse Linux Enterprise Server)
  • 11 SP3 (SUSE Linux Enterprise Point of Sale)
  • 11 SP4-LTSS (Suse Linux Enterprise Server)
  • 11 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3-LTSS (Suse Linux Enterprise Server)
  • 10.0 (Debian GNU/Linux)
  • 8 (SUSE OpenStack Cloud)
  • 12 SP3-BCL (Suse Linux Enterprise Server)
  • 12 SP3-BCL (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications)
  • Crowbar 8 (SUSE OpenStack Cloud)
  • 7.2 Муром (РЕД ОС)
  • 8 (HPE Helion Openstack)
  • 12 SP3-ESPOS (Suse Linux Enterprise Server)
  • 12 SP3-ESPOS (SUSE Linux Enterprise Server for SAP Applications)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • от 9.9.3-S1 до 9.11.29-S1 (BIND)
  • от 9.16.8-S1 до 9.16.13-S1 (BIND)
  • от 9.0.0.до 9.11.31 (BIND)
  • от 9.12.0 до 9.16.15 (BIND)
  • от 9.17.0 до 9.17.12 (BIND)
  • 1.0 (ОС ОН «Стрелец»)
  • 1.7 (Astra Linux Special Edition)
  • 4.7 (Astra Linux Special Edition)
  • до 2.1 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем, Сетевое программное средство
Операционные системы и аппаратные платформы
Тип ошибки Выход операции за границы буфера в памяти, Доступная функция assert()
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 28.04.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-25216/

Для bind9:
https://kb.isc.org/v1/docs/cve-2021-25216

Для РЕД ОС:
https://redos.red-soft.ru/updatesec/

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2021-25216

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОС ОН «Стрелец»:

https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОСОН Основа:
Обновление программного обеспечения bind9 до версии 1:9.11.5.P4+dfsg-5.1+deb10u5
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения