Описание
Множественные уязвимости BIND
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета BIND или Установить обновление для пакета(ов) BIND
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
29.09.2022
CVE-2022-2795
Идентификатор БДУ ФСТЭК России:
BDU:2022-02387Описание уязвимости:
Уязвимость DNS-сервера BIND связана с неправильным управлением внутренними ресурсами внутри приложения при обработке больших делегаций. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, переполнить запросами целевой сервер и выполнить атаку типа «отказ в обслуживании» (DoS)
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2022-2881
Идентификатор БДУ ФСТЭК России:
BDU:2022-05984Описание уязвимости:
Уязвимость DNS-сервера BIND связана с граничными условиями при повторном использовании HTTP-соединения при запросе статистики из канала статистики. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, с помощью управляемого DNS-сервера вызывать ошибку чтения за пределами границ и считать содержимое памяти в системе или выполнить атаку типа «отказ в обслуживании»
8.2 High
CVSS3
8.5 High
CVSS2
CVE-2022-2906
Идентификатор БДУ ФСТЭК России:
BDU:2022-06070Описание уязвимости:
Уязвимость DNS-сервера BIND связана с утечкой памяти при обработке ключей при использовании записей TKEY в режиме Диффи-Хеллмана с OpenSSL 3.0.0 и более поздних версий. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, заставить приложение освободить память и выполнить атаку типа «отказ в обслуживании»
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2022-3080
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость DNS-сервера BIND связана с ошибкой ответов из устаревшего кеша с нулевым временем ожидания stale-answer-client-timeout. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить специально созданный запрос преобразователю DNS и выполнить атаку типа «отказ в обслуживании» (DoS)
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2022-38177
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость DNS-сервера BIND связана с утечкой памяти в коде проверки DNSSEC для алгоритма ECDSA. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, подделать целевой запрос с помощью ответов с искаженной подписью ECDSA и выполнить атаку типа «отказ в обслуживании»
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2022-38178
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость DNS-сервера BIND связана с утечкой памяти в коде проверки DNSSEC для алгоритма EdDSA. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, подделать целевой запрос с помощью ответов с искаженной подписью EdDSA и выполнить атаку типа «отказ в обслуживании»
7.5 High
CVSS3
7.8 High
CVSS2