ГлавнаяБаза уязвимостей БДУ → BDU:2023-02160
7.8высокая

BDU:2023-02160 (CVE-2022-0667)

Уязвимость сервера DNS BIND, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-04-20
Описание

Уязвимость сервера DNS BIND связана с обработкой запроса на запись DS, которую необходимо переадресовать, BIND ожидает, пока эта обработка не будет завершена или пока время ожидания таймера времени ожидания не истечет, в результате этого тайм-аута вызывается функция resume_dslookup(), которая не проверяет, завершалась ли выборка ранее. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Debian GNU/Linux (11)РЕД ОС (7.3)BIND (9.18.0)
Способ устранения

Использование рекомендаций:
Для сервера DNS BIND:
https://kb.isc.org/v1/docs/cve-2022-0667

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-bind-cve-2021-25220-cve-2022-0396-cve-2022-0635-cve-2022-0667/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-0667

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет bind9 до 1:9.11.3+dfsg-1ubuntu1.18+ci202211281326+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://kb.isc.org/v1/docs/cve-2022-0667http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-bind-cve-2021-25220-cve-2022-0396-cve-2022-0635-cve-2022-0667/https://security-tracker.debian.org/tracker/CVE-2022-0667https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Проверьте безопасность своего сайта и почты → Полная проверка домена