Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-06070: Уязвимость реализации алгоритма Диффи-Хеллмана сервера DNS BIND, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость реализации алгоритма Диффи-Хеллмана сервера DNS BIND связана с неправильным освобождением памяти перед удалением последний ссылки при обработке записей TKEY. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор	Novell Inc., ООО «Ред Софт», Canonical Ltd., Internet Systems Consortium, АО "НППКТ"
Наименование ПО	openSUSE Tumbleweed, РЕД ОС (запись в едином реестре российских программ №3751), Ubuntu, BIND, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	- (openSUSE Tumbleweed) 7.3 (РЕД ОС) 22.04 LTS (Ubuntu) от 9.18.0 до 9.18.7 (BIND) от 9.19.0 до 9.19.5 (BIND) до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Сетевое программное средство
Операционные системы и аппаратные платформы	Novell Inc. openSUSE Tumbleweed - ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) Canonical Ltd. Ubuntu 22.04 LTS АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки	Неправильное освобождение памяти перед удалением последней ссылки («утечка памяти»)
Идентификатор типа ошибки	CWE-401
Класс уязвимости	Уязвимость кода
Дата выявления	18.08.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для BIND: https://kb.isc.org/docs/cve-2022-2906 https://gitlab.isc.org/isc-projects/bind9/-/commit/73df5c80538970ee1fbc4fe3348109bdc281e197 Для Ubuntu: https://ubuntu.com/security/notices/USN-5626-1 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2022-2906.html Для Ред ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОСОН ОСнова Оnyx: Обновление программного обеспечения bind9 до версии 1:9.16.33-1~deb11u1.osnova1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Исчерпание ресурсов
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://ubuntu.com/security/notices/USN-5626-1 https://nvd.nist.gov/vuln/detail/CVE-2022-2906 http://www.openwall.com/lists/oss-security/2022/09/21/3 https://kb.isc.org/docs/cve-2022-2906 https://access.redhat.com/security/cve/cve-2022-2906 https://gitlab.isc.org/isc-projects/bind9/-/commit/73df5c80538970ee1fbc4fe3348109bdc281e197 https://www.suse.com/security/cve/CVE-2022-2906.html https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-bind-cve-2022-2795-cve-2022-2881-cve-2022-2906-cve-2022-3080-cve-2022-381/?sphrase_id=67327 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-2906
Прочая информация	Данные уточняются

Последние изменения