ГлавнаяБаза уязвимостей БДУ → BDU:2023-00580
7.8высокая

BDU:2023-00580 (CVE-2022-3094)

Уязвимость компонента named сервера DNS BIND, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-02-07
Описание

Уязвимость компонента named сервера DNS BIND связана с возможностью использования памяти после освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)openSUSE TumbleweedDebian GNU/Linux (11)Red Hat Enterprise Linux (9)BIND (от 9.16.0 до 9.16.37)BIND (от 9.18.0 до 9.18.11)BIND (от 9.19.0 до 9.19.9)ОСОН ОСнова Оnyx (до 2.7)ROSA Virtualization (2.1)ROSA Virtualization 3.0 (3.0)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения доступа;
- мониторинг действий пользователей DNS-сервера;
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей DNS-сервера (эксплуатация уязвимости возможна только при отправке аутентифицированным пользователем большого количества UPDATE-запросов).

Использование рекомендаций производителя:
Для DNS BIND:
https://kb.isc.org/docs/cve-2022-3094

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-3094

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-3094.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-3094

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения bind9 до версии 1:9.16.37-1~deb11u1.osnova1

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2791

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2834

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://kb.isc.org/docs/cve-2022-3094https://access.redhat.com/security/cve/CVE-2022-3094https://www.suse.com/security/cve/CVE-2022-3094.htmlhttps://security-tracker.debian.org/tracker/CVE-2022-3094https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/https://abf.rosa.ru/advisories/ROSA-SA-2025-2791https://abf.rosa.ru/advisories/ROSA-SA-2025-2834
Проверьте безопасность своего сайта и почты → Полная проверка домена