Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04004

Опубликовано: 09 мая 2024
Источник: fstec
CVSS3: 5.9
CVSS2: 5.4
EPSS Низкий

Описание

Уязвимость DNS-сервера Unbound связана с возможностью формирования импульсного потока большого количества запросов к серверу с использованием ответов от DNS-резолверов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать DDoS-атаку с использованием DNS-трафика

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Novell Inc.
ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
Stichting NLnet Labs

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
openSUSE Tumbleweed
РЕД ОС
Astra Linux Special Edition
АЛЬТ СП 10
Unbound

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
- (openSUSE Tumbleweed)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
9 (Red Hat Enterprise Linux)
- (АЛЬТ СП 10)
до 1.20.0 rc1 (Unbound)
1.8 (Astra Linux Special Edition)

Тип ПО

Операционная система
ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. openSUSE Tumbleweed -
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Red Hat Inc. Red Hat Enterprise Linux 9
АО «ИВК» АЛЬТ СП 10 -
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- конфигурирование DNS-сервера с целью запрета обработки запросов от недоверенных DNS-резолверов;
- использование средств межсетевого экранирования для ограничения возможности получения сетевых запросов от недоверенных узлов;
- использование систем обнаружения вторжений для отслеживания попыток атаки;
- конфигурирование доверенных DNS-резолверов с целью снижения возможности их использования для усиления DDoS-атак (регулирование времени, в течении которого DNS-резолвер может накапливать DNS-запросы; регулирование размера пакетного DNS-запроса);
- реализация мер защиты от IP-спуфинга
Использование рекомендаций:
Для Unbound:
https://github.com/NLnetLabs/unbound/commit/c3206f4568f60c486be6d165b1f2b5b254fea3de
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-33655
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-33655
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-33655.html
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
обновить пакет unbound до 1.17.1-2+deb12u2.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
Для ОС Astra Linux:
обновить пакет unbound до 1.13.1-1+deb11u3.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Для ОС Astra Linux:
обновить пакет unbound до 1.13.1-1+deb11u3.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 86%
0.02839
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20240918-06

CVSS3: 5.9
redos
9 месяцев назад

Уязвимость unbound

ubuntu логотип

CVE-2024-33655

CVSS3: 7.5
ubuntu
около 1 года назад

The DNS protocol in RFC 1035 and updates allows remote attackers to cause a denial of service (resource consumption) by arranging for DNS queries to be accumulated for seconds, such that responses are later sent in a pulsing burst (which can be considered traffic amplification in some cases), aka the "DNSBomb" issue.

redhat логотип

CVE-2024-33655

CVSS3: 3.7
redhat
около 1 года назад

The DNS protocol in RFC 1035 and updates allows remote attackers to cause a denial of service (resource consumption) by arranging for DNS queries to be accumulated for seconds, such that responses are later sent in a pulsing burst (which can be considered traffic amplification in some cases), aka the "DNSBomb" issue.

nvd логотип

CVE-2024-33655

CVSS3: 7.5
nvd
около 1 года назад

The DNS protocol in RFC 1035 and updates allows remote attackers to cause a denial of service (resource consumption) by arranging for DNS queries to be accumulated for seconds, such that responses are later sent in a pulsing burst (which can be considered traffic amplification in some cases), aka the "DNSBomb" issue.

msrc логотип

CVE-2024-33655

CVSS3: 7.5
msrc
8 месяцев назад

Описание отсутствует

EPSS

Процентиль: 86%
0.02839
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2