Уязвимость DNS-сервера BIND связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании, путем отправки множества DNS-сообщений по протоколу TCP
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение числа одновременных TCP-соединений при помощи средств межсетевого экранирования или конфигурации сервера;
- реализация механизма квотирования запросов, например, с помощью модуля BIND 9 Response Rate Limiting (RRL).
Использование рекомендаций:
Для BIND 9:
https://kb.isc.org/docs/cve-2024-0760
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-0760
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6909-1
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС Astra Linux:
обновить пакет bind9 до 1:9.18.33-1~deb12u2astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
| Балл | 7.8 — высокая опасность |