БДУ - Уязвимости

BDU:2022-06125: Уязвимость сервера DNS BIND, связанная с недостаточной проверкой входных данных, позволяющая нарушителю выполнить атаку типа «отказ в обслуживании» (DoS)

Описание уязвимости	Уязвимость сервера DNS BIND связана с недостаточной проверкой входных данных при обработке параметра stale-answer-client-timeout с установленым значением 0 и использовании типа записи CNAME в кеше для входящего запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа «отказ в обслуживании» (DoS)
Вендор	Red Hat Inc., Сообщество свободного программного обеспечения, Fedora Project, ООО «Ред Софт», Canonical Ltd., Internet Systems Consortium, АО "НППКТ"
Наименование ПО	Red Hat Enterprise Linux, Debian GNU/Linux, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Ubuntu, BIND, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	8 (Red Hat Enterprise Linux) 11 (Debian GNU/Linux) 35 (Fedora) 7.3 (РЕД ОС) 36 (Fedora) 22.04 LTS (Ubuntu) 9 (Red Hat Enterprise Linux) 37 (Fedora) от 9.0.0 до 9.16.32 включительно (BIND) от 9.18.0 до 9.18.6 включительно (BIND) от 9.19.0 до 9.19.4 включительно (BIND) до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Сетевое программное средство
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 11 Fedora Project Fedora 35 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) Fedora Project Fedora 36 Canonical Ltd. Ubuntu 22.04 LTS Red Hat Inc. Red Hat Enterprise Linux 9 Fedora Project Fedora 37 АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки	Недостаточная проверка вводимых данных, Неверная нейтрализация особых элементов в выходных данных, используемых входящим компонентом («инъекция»)
Идентификатор типа ошибки	CWE-20 CWE-74
Класс уязвимости	Уязвимость кода
Дата выявления	14.09.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для BIND: https://kb.isc.org/docs/cve-2022-3080 Для Ред ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-bind-cve-2022-2795-cve-2022-2881-cve-2022-2906-cve-2022-3080-cve-2022-381/ Для Ubuntu: https://ubuntu.com/security/notices/USN-5626-1 Для Debian: https://www.debian.org/security/2022/dsa-5235 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CV4GQWBPF7Y52J2FA24U6UMHQAOXZEF7/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MRHB6J4Z7BKH4HPEKG5D35QGRD6ANNMT/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YZJQNUASODNVAWZV6STKG5SD6XIJ446S/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2022-3080 Для ОСОН ОСнова Оnyx: Обновление программного обеспечения bind9 до версии 1:9.16.33-1~deb11u1.osnova1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование ресурсами Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-bind-cve-2022-2795-cve-2022-2881-cve-2022-2906-cve-2022-3080-cve-2022-381/?sphrase_id=67327 http://www.openwall.com/lists/oss-security/2022/09/21/3 https://kb.isc.org/docs/cve-2022-3080 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CV4GQWBPF7Y52J2FA24U6UMHQAOXZEF7/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MRHB6J4Z7BKH4HPEKG5D35QGRD6ANNMT/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YZJQNUASODNVAWZV6STKG5SD6XIJ446S/ https://www.debian.org/security/2022/dsa-5235 https://access.redhat.com/security/cve/CVE-2022-3080 https://ubuntu.com/security/notices/USN-5626-1 https://bugzilla.redhat.com/show_bug.cgi?id=2128600 https://nvd.nist.gov/vuln/detail/CVE-2022-3080 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-3080
Прочая информация	Данные уточняются

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-06125: Уязвимость сервера DNS BIND, связанная с недостаточной проверкой входных данных, позволяющая нарушителю выполнить атаку типа «отказ в обслуживании» (DoS)