BDU:2021-05819
Novell Inc., Canonical Ltd., Red Hat Inc., АО «ИВК», АО «Концерн ВНИИНС», Сообщество свободного прог Red Hat Enterprise Linux, rpcbind, Fedora, Red Hat Ceph Storage, ОС ОН «Стрелец», Ubuntu, OpenSUSE L
2017-05-03
Уязвимость сервера динамического назначения RPC-портов RPCbind связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций Для rpcbind: https://github.com/drbothen/GO-RPCBOMB http://git.linux-nfs.org/?p=steved/rpcbind.git
Для libtirpc: https://github.com/guidovranken/rpcbomb
Для ntirpc: https://github.com/guidovranken/rpcbomb
Для Ubuntu: https://ubuntu.com/security/notices/USN-3759-1 https://ubuntu.com/security/notices/USN-3759-2 https://ubuntu.com/security/notices/USN-4986-1 https://ubuntu.com/security/notices/USN-4986-2
Для Debian GNU/Linux: https://www.debian.org/security/2017/dsa-3845
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2017-8779 https://bugzilla.redhat.com/show_bug.cgi?id=1448124
Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DEIBRBJE677HANIUQFDRJHIJYPJRZQYG/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TUCEBTW7ECONUSKYSVN4W7NE5LVZMWZU/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5BLP6HQSEBKCL4CLJ76DM4R3WF6A6SDR/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/J5444OAGCXI7PXUGZ65GTCPD6BQBPYH6/
Для ALT Linux: https://cve.basealt.ru/tag/cve-2017-8779.html
Для программных продуктов Novell Inc.: http://lists.opensuse.org/opensuse-security-announce/2017-05/msg00071.html
Для ОС ОН «Стрелец»: Обновление программного обеспечения rpcbind до версии 1.2.5-0.3+deb10u1osnova0