БДУ - Уязвимости

BDU:2022-06121: Уязвимость реализации технологии DNSSEC сервера DNS BIND, позволяющая нарушителю выполнить атаку типа «отказ в обслуживании»

Описание уязвимости	Уязвимость реализации технологии DNSSEC сервера DNS BIND связана с некорректной проверкой криптографической подписи EdDSA. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа «отказ в обслуживании»
Вендор	Red Hat Inc., Canonical Ltd., ООО «РусБИТех-Астра», Internet Systems Consortium, Сообщество свободного программного обеспечения, Fedora Project, ООО «Ред Софт», АО "НППКТ"
Наименование ПО	Red Hat Enterprise Linux, Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Virtualization, BIND, Debian GNU/Linux, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	7 (Red Hat Enterprise Linux) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 4 (Red Hat Virtualization) 8 (Red Hat Enterprise Linux) 20.04 LTS (Ubuntu) от 9.10.7 до 9.10.8 включительно (BIND) от 9.9.12 до 9.9.13 включительно (BIND) 11 (Debian GNU/Linux) 35 (Fedora) 8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux) 7.3 (РЕД ОС) 36 (Fedora) 22.04 LTS (Ubuntu) 9 (Red Hat Enterprise Linux) 37 (Fedora) от 9.18.0 до 9.18.6 включительно (BIND) от 9.19.0 до 9.19.4 включительно (BIND) от 9.11.3 до 9.16.32 включительно (BIND) до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, ПО виртуализации/ПО виртуального программно-аппаратного средства, Сетевое программное средство
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 7 Canonical Ltd. Ubuntu 18.04 LTS ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Red Hat Inc. Red Hat Enterprise Linux 8 Canonical Ltd. Ubuntu 20.04 LTS Сообщество свободного программного обеспечения Debian GNU/Linux 11 Fedora Project Fedora 35 Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) Fedora Project Fedora 36 Canonical Ltd. Ubuntu 22.04 LTS Red Hat Inc. Red Hat Enterprise Linux 9 Fedora Project Fedora 37 АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки	Некорректная проверка криптографической подписи, Неправильное освобождение памяти перед удалением последней ссылки («утечка памяти»)
Идентификатор типа ошибки	CWE-347 CWE-401
Класс уязвимости	Уязвимость кода
Дата выявления	14.09.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для BIND: https://kb.isc.org/docs/cve-2022-38178 Для Ред ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-bind-cve-2022-2795-cve-2022-2881-cve-2022-2906-cve-2022-3080-cve-2022-381/ Для Ubuntu: https://ubuntu.com/security/notices/USN-5626-1 Для Debian: https://www.debian.org/security/2022/dsa-5235 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CV4GQWBPF7Y52J2FA24U6UMHQAOXZEF7/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MRHB6J4Z7BKH4HPEKG5D35QGRD6ANNMT/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YZJQNUASODNVAWZV6STKG5SD6XIJ446S/ Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-38178 Компенсирующие меры: Следует отключить алгоритм криптографической подписи EdDSA (его варианты ED25519 и ED448), используя конфигурацию disable-algorithms и опции ED25519 и ED448 Для ОСОН ОСнова Оnyx: Обновление программного обеспечения bind9 до версии 1:9.16.33-1~deb11u1.osnova1 Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Исчерпание ресурсов Подмена при взаимодействии
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-bind-cve-2022-2795-cve-2022-2881-cve-2022-2906-cve-2022-3080-cve-2022-381/?sphrase_id=67327 https://ubuntu.com/security/notices/USN-5626-1 http://www.openwall.com/lists/oss-security/2022/09/21/3 https://kb.isc.org/docs/cve-2022-38178 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CV4GQWBPF7Y52J2FA24U6UMHQAOXZEF7/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MRHB6J4Z7BKH4HPEKG5D35QGRD6ANNMT/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YZJQNUASODNVAWZV6STKG5SD6XIJ446S/ https://www.debian.org/security/2022/dsa-5235 https://bugzilla.redhat.com/show_bug.cgi?id=2128602 https://nvd.nist.gov/vuln/detail/CVE-2022-38178 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-38178
Прочая информация	Данные уточняются

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-06121: Уязвимость реализации технологии DNSSEC сервера DNS BIND, позволяющая нарушителю выполнить атаку типа «отказ в обслуживании»