Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-02160

Опубликовано: 23 мар. 2022
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость сервера DNS BIND связана с обработкой запроса на запись DS, которую необходимо переадресовать, BIND ожидает, пока эта обработка не будет завершена или пока время ожидания таймера времени ожидания не истечет, в результате этого тайм-аута вызывается функция resume_dslookup(), которая не проверяет, завершалась ли выборка ранее. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
ООО «Ред Софт»
Internet Systems Consortium

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition для «Эльбрус»
РЕД ОС
BIND

Версия ПО

10 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
9.18.0 (BIND)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для сервера DNS BIND:
https://kb.isc.org/v1/docs/cve-2022-0667
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-bind-cve-2021-25220-cve-2022-0396-cve-2022-0635-cve-2022-0667/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-0667
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет bind9 до 1:9.11.3+dfsg-1ubuntu1.18+ci202211281326+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 71%
0.00694
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVSS3: 7.5
ubuntu
больше 3 лет назад

When the vulnerability is triggered the BIND process will exit. BIND 9.18.0

CVSS3: 7.5
redhat
больше 3 лет назад

When the vulnerability is triggered the BIND process will exit. BIND 9.18.0

CVSS3: 7.5
nvd
больше 3 лет назад

When the vulnerability is triggered the BIND process will exit. BIND 9.18.0

CVSS3: 7.5
debian
больше 3 лет назад

When the vulnerability is triggered the BIND process will exit. BIND 9 ...

CVSS3: 7.5
github
больше 3 лет назад

When the vulnerability is triggered the BIND process will exit. BIND 9.18.0

EPSS

Процентиль: 71%
0.00694
Низкий

7.5 High

CVSS3

7.8 High

CVSS2