ГлавнаяБаза уязвимостей БДУ → BDU:2023-06079
7.8высокая

BDU:2023-06079 (CVE-2023-3341)

Уязвимость демона named DNS-сервера BIND, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-09-26
Описание

Уязвимость демона named DNS-сервера BIND связана с выходом операции за границы буфера в памяти в результате неконтролируемой рекурсии при обработке принимаемых пакетов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально сформированных пакетов через настроенный TCP-порт канала управления

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Альт 8 СПAstra Linux Special Edition (4.7)РОСА Кобальт (7.9)ROSA Virtualization (2.1)BIND (от 9.18.0 до 9.18.18 включительно)BIND (от 9.2.0 до 9.16.43 включительно)BIND (от 9.19.0 до 9.19.16 включительно)BIND (от 9.9.3-S1 до 9.16.43-S1 включительно (Supported Preview Edition))BIND (от 9.18.0-S1 до 9.18.18-S1 включительно (Supported Preview Edition))АЛЬТ СП 10ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
Для сервера DNS BIND:
https://kb.isc.org/docs/cve-2023-3341
https://downloads.isc.org/isc/bind9/9.16.44/patches/
https://downloads.isc.org/isc/bind9/9.18.19/patches/
https://downloads.isc.org/isc/bind9/9.19.17/patches/
https://gitlab.isc.org/isc-projects/bind9/-/commit/432a49a7b089da6340e56d402034a586bc69f80e
https://gitlab.isc.org/isc-projects/bind9/-/commit/c4fac5ca98efd02fbaef43601627c7a3a09f5a71

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-3341
https://www.debian.org/security/2023/dsa-5504
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1052416

Компенсирующие меры:
По умолчанию при запуске демона named разрешаются только соединения по каналу управления через интерфейс обратной связи, что делает невозможным проведение этой атаки по сети. При включении удаленного доступа к настроенному TCP-порту канала управления следует позаботиться о том, чтобы ограничить такой доступ доверенными диапазонами IP-адресов на сетевом уровне, эффективно предотвращая неавторизованные стороны от проведения атаки.

Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2279

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения bind9 до версии 1:9.16.44-1~deb11u1.osnova1

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
обновить пакет bind9 до 1:9.11.5.P4+dfsg-5.1+deb10u10+ci202404131956+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет bind9 до 1:9.11.5.P4+dfsg-5.1+deb10u10+ci202404131956+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2834

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2023/09/20/2https://kb.isc.org/docs/cve-2023-3341https://www.debian.org/security/2023/dsa-5504https://security-tracker.debian.org/tracker/CVE-2023-3341https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1052416https://vuldb.com/?id.240041https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2279https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/
Проверьте безопасность своего сайта и почты → Полная проверка домена