ГлавнаяБаза уязвимостей БДУ → BDU:2024-00853
5.4средняя

BDU:2024-00853 (CVE-2023-7008)

Уязвимость службы управления сетевыми соединениями и разрешениями доменных имён (DNS) systemd-resolved, связанная с доступом к каналу из точки, не являющейся конечной, позволяющая нарушителю изменить записи DNS, защищенные DNSSEC
Опубликовано: 2024-01-31
Описание

Уязвимость службы управления сетевыми соединениями и разрешениями доменных имён (DNS) systemd-resolved связана с недостатками проверки подлинности сообщений от DNS-клиентов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, изменить записи DNS, защищенные DNSSEC, путём отправки специально сформированных DNS-запросов

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Red Hat Enterprise Linux (8)Debian GNU/Linux (8)Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Red Hat Enterprise Linux (9)Fedora (38)Fedora (39)АЛЬТ СП 10Systemd (до 256)Systemd (от 255 до 255.2)Systemd (от 254 до 254.8)Systemd (от 253 до 253.15)Systemd (от 252 до 252.21)Systemd (от 251 до 251.20)Systemd (от 250 до 250.14)Systemd (от 249 до 249.17)Systemd (от 248 до 248.13)ОСОН ОСнова Оnyx (до 2.11.1)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование механизма "белых" списков для ограничения возможности реализации атаки "человек по середине";
- использование средств межсетевого экранирования для ограничения возможности подключения к недоверенным сайтам;
- использование VPN для организации удалённого доступа к ресурсам.

Использование рекомендаций:
Для systemd-resolved:
https://github.com/systemd/systemd/commit/3b4cc1437b51fcc0b08da8cc3f5d1175eed25eb1
https://github.com/systemd/systemd-stable/commit/6da5ca9dd69c0e3340d4439413718ad4963252de
https://github.com/systemd/systemd-stable/commit/029272750fe451aeaac87a8c783cfb067f001e16
https://github.com/systemd/systemd-stable/commit/5c149c77cbf7b3743fa65ce7dc9d2b5a58351968
https://github.com/systemd/systemd-stable/commit/bb78da7f955c0102047319c55fff9d853ab7c87a
https://github.com/systemd/systemd-stable/commit/f58fc88678b893162f2d6d4b2db094e7b1646386
https://github.com/systemd/systemd-stable/commit/4ada1290584745ab6643eece9e1756a8c0e079ca
https://github.com/systemd/systemd-stable/commit/c8578cef7f0f1e8cb8193c29e5e77daf4e3a1c9f
https://github.com/systemd/systemd-stable/commit/3a409b210396c6a0bef621349f4caa3a865940f2

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-7008

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-7008

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4GMDEG5PKONWNHOEYSUDRT6JEOISRMN2/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QHNBXGKJWISJETTTDTZKTBFIBJUOSLKL/



Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОСОН Основа Onyx:
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.11.1/

Оценка CVSS
Балл5.4 — средняя опасность
Источники и патчи
https://altsp.su/obnovleniya-bezopasnosti/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.11.1/https://github.com/systemd/systemd/commit/3b4cc1437b51fcc0b08da8cc3f5d1175eed25eb1https://github.com/systemd/systemd-stable/commit/6da5ca9dd69c0e3340d4439413718ad4963252dehttps://github.com/systemd/systemd-stable/commit/029272750fe451aeaac87a8c783cfb067f001e16https://github.com/systemd/systemd-stable/commit/5c149c77cbf7b3743fa65ce7dc9d2b5a58351968https://github.com/systemd/systemd-stable/commit/bb78da7f955c0102047319c55fff9d853ab7c87ahttps://github.com/systemd/systemd-stable/commit/f58fc88678b893162f2d6d4b2db094e7b1646386
Проверьте безопасность своего сайта и почты → Полная проверка домена