Уязвимость реализации протокола DoT (DNS over TLS) DNS-сервера BIND связана с недостатком использования функции assert() или похожего оператора при обработке запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Использование рекомендаций:
Для BIND:
https://kb.isc.org/docs/cve-2023-4236
https://downloads.isc.org/isc/bind9/9.18.19/patches/0002-CVE-2023-4236.patch
https://downloads.isc.org/isc/bind9/9.18.19/patches/
https://gitlab.isc.org/isc-projects/bind9/-/commit/18efa454a98759bf4f3ca806d9a6ef881ff9648d
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-4236
https://www.debian.org/security/2023/dsa-5504
Компенсирующие меры:
Для отключения прослушивания соединений протокола DoT (DNS over TLS), следует удалить операторы listen-on ... tls ... { ... }; из конфигурации.
| Балл | 7.8 — высокая опасность |