BDU:2023-06079
АО "НППКТ", Internet Systems Consortium, АО «ИВК», Сообщество свободного программного обеспечения, А Альт 8 СП, АЛЬТ СП 10, Astra Linux Special Edition, Debian GNU/Linux, ОСОН ОСнова Оnyx, BIND, ROSA V
2023-06-20
Уязвимость демона named DNS-сервера BIND связана с выходом операции за границы буфера в памяти в результате неконтролируемой рекурсии при обработке принимаемых пакетов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально сформированных пакетов через настроенный TCP-порт канала управления
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для сервера DNS BIND: https://kb.isc.org/docs/cve-2023-3341 https://downloads.isc.org/isc/bind9/9.16.44/patches/ https://downloads.isc.org/isc/bind9/9.18.19/patches/ https://downloads.isc.org/isc/bind9/9.19.17/patches/ https://gitlab.isc.org/isc-projects/bind9/-/commit/432a49a7b089da6340e56d402034a586bc69f80e https://gitlab.isc.org/isc-projects/bind9/-/commit/c4fac5ca98efd02fbaef43601627c7a3a09f5a71
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-3341 https://www.debian.org/security/2023/dsa-5504 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1052416
Компенсирующие меры: По умолчанию при запуске демона named разрешаются только соединения по каналу управления через интерфейс обратной связи, что делает невозможным проведение этой атаки по сети. При включении удаленного доступа к настроенному TCP-порту канала управления следует позаботиться о том, чтобы ограничить такой доступ доверенными диапазонами IP-адресов на сетевом уровне, эффективно предотвращая неавторизованные стороны от проведения атаки.
Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2279
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения bind9 до версии 1:9.16.44-1~deb11u1.osnova1
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС Astra Linux: обновить пакет bind9 до 1:9.11.5.P4+dfsg-5.1+deb10u10+ci202404131956+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для Astra Linux Special Edition 4.7 для архитектуры ARM: обновить пакет bind9 до 1:9.11.5.P4+dfsg-5.1+deb10u10+ci202404131956+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2834