Уязвимость сервера DNS BIND связана с переполнением буфера в стеке при работе BIND в качестве «резолвера», когда число рекурсивных запросов достигло допустимого максимума и настройки сервера позволяют возвращать ранее кешированные ответы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- установить параметр stale-answer-client-timeout на ненулевое значение или отключить его полностью;
- установить высокое значение для параметра recursive-clients;
- использование средств межсетевого экранирования для ограничения доступа.
Использование рекомендаций производителя:
https://kb.isc.org/docs/cve-2023-2911
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения bind9 до версии 1:9.16.42-1~deb11u1.osnova1
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
| Балл | 7.8 — высокая опасность |