BDU:2020-03950: Уязвимость DNS-сервера BIND, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость DNS-сервера BIND связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Вендор Red Hat Inc., Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Fedora Project, Internet Systems Consortium, АО «Концерн ВНИИНС», ООО «Юбитех»
Наименование ПО Red Hat Enterprise Linux, Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Fedora, BIND, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), UBLinux (запись в едином реестре российских программ №6874)
Версия ПО 6 (Red Hat Enterprise Linux), 7 (Red Hat Enterprise Linux), 6.5 Advanced Update Support (Red Hat Enterprise Linux), 6.6 Advanced Update Support (Red Hat Enterprise Linux), 16.04 LTS (Ubuntu), 1.5 «Смоленск» (Astra Linux Special Edition), 9 (Debian GNU/Linux), 18.04 LTS (Ubuntu), 1.6 «Смоленск» (Astra Linux Special Edition), 12.04 ESM (Ubuntu), 8 (Red Hat Enterprise Linux), 14.04 ESM (Ubuntu), 8 (Debian GNU/Linux), 10 (Debian GNU/Linux), 31 (Fedora), 9.13.0 (BIND), 19.10 (Ubuntu), 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»), 32 (Fedora), 8.0 Update Services for SAP Solutions (Red Hat Enterprise Linux), 20.04 LTS (Ubuntu), 8.1 Extended Update Support (Red Hat Enterprise Linux), 7.7 Extended Update Support (Red Hat Enterprise Linux), от 9.0.0 до 9.11.18 включительно (BIND), от 9.12.0 до 9.12.4-P2 включительно (BIND), от 9.14.0 до 9.14.11 включительно (BIND), от 9.16.0 до 9.16.2 включительно (BIND), от 9.17.0 до 9.17.1 включительно (BIND), 9.15 (BIND), от 9.9.3-S1 до 9.11.18-S1 включительно (Supported Preview Edition) (BIND), 1.0 (ОС ОН «Стрелец»), до 21.01 (UBLinux)
Тип ПО Операционная система, Сетевое программное средство
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 6 64-bit
  • Red Hat Inc. Red Hat Enterprise Linux 7 IA-32
  • Red Hat Inc. Red Hat Enterprise Linux 6.5 Advanced Update Support IA-32
  • Red Hat Inc. Red Hat Enterprise Linux 6.6 Advanced Update Support IA-32
  • Canonical Ltd. Ubuntu 16.04 LTS 32-bit
  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск» 64-bit (запись в едином реестре российских программ №369)
  • Red Hat Inc. Red Hat Enterprise Linux 6 Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 7 Не указана
  • Canonical Ltd. Ubuntu 16.04 LTS Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9 Не указана
  • Canonical Ltd. Ubuntu 18.04 LTS Не указана
  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» Не указана (запись в едином реестре российских программ №369)
  • Canonical Ltd. Ubuntu 12.04 ESM Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8 Не указана
  • Canonical Ltd. Ubuntu 14.04 ESM Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10 Не указана
  • Fedora Project Fedora 31 Не указана
  • Canonical Ltd. Ubuntu 19.10 Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 6.5 Advanced Update Support Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 6.6 Advanced Update Support Не указана
  • ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» Не указана (запись в едином реестре российских программ №11156)
  • Fedora Project Fedora 32 Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8.0 Update Services for SAP Solutions Не указана
  • Canonical Ltd. Ubuntu 20.04 LTS Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 7.7 Extended Update Support Не указана
  • АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 Не указана (запись в едином реестре российских программ №6177)
  • ООО «Юбитех» UBLinux до 21.01 Не указана (запись в едином реестре российских программ №6874)
Тип ошибки Неконтролируемый расход ресурса («Истощение ресурса»)
Идентификатор типа ошибки CWE-400
Класс уязвимости Уязвимость кода
Дата выявления 19.05.2020
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:P
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для DNS-сервера BIND:
https://kb.isc.org/docs/cve-2020-8616

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-8616

Для Ubuntu:
https://usn.ubuntu.com/4365-1/
https://usn.ubuntu.com/4365-2/

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/05/msg00031.html
https://www.debian.org/security/2020/dsa-4689

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JKJXVBOKZ36ER3EUCR7VRB7WGHIIMPNJ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WOGCJS2XQ3SQNF4W6GLZ73LWZJ6ZZWZI/

Для Astra Linux:
Обновление программного обеспечения (пакета bind9) до 1:9.11.5.P4+dfsg-5.1+deb10u1 или более поздней версии
И использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81


Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для UBLinux:

https://security.ublinux.ru/ASA-202005-13/generate
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Исчерпание ресурсов
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются