BDU:2022-05984: Уязвимость сервера DNS BIND, связанная с отсутствием проверки длины буфера и чтением за границами памяти, позволяющая нарушителю получить доступ к защищаемой информации или вызвать отказ в обслуживании

Описание уязвимости Уязвимость сервера DNS BIND связана с отсутствием проверки длины буфера и чтением за границами памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к защищаемой информации или вызвать отказ в обслуживании
Вендор ООО «РусБИТех-Астра», ООО «Ред Софт», Internet Systems Consortium, АО "НППКТ"
Наименование ПО Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), РЕД ОС (запись в едином реестре российских программ №3751), BIND, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 7.3 (РЕД ОС)
  • от 9.18.0 до 9.18.7 (BIND)
  • от 9.19.0 до 9.19.5 (BIND)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Сетевое программное средство
Операционные системы и аппаратные платформы
Тип ошибки Чтение за границами буфера
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 21.09.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение каналов статистики путем удаления из файла конфигурации строк, открывающих к ним доступ. Пример:
statistics-channels {
inet 10.1.10.10 port 8080 allow { 192.168.2.10; 10.1.10.2; };
inet 127.0.0.1 port 8080 allow { 127.0.0.1; };
};
- использование средств межсетевого экранирования уровня веб-приложений.

Использование рекомендаций:
Для BIND:
https://kb.isc.org/docs/cve-2022-2881

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения bind9 до версии 1:9.16.33-1~deb11u1.osnova1

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет bind9 до 1:9.11.3+dfsg-1ubuntu1.18+ci202211281326+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения