Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
bind9
(any)
bind9-doc
(any)
bind9-host
(any)
bind9utils
(any)
dnsutils
(any)
host
(any)
libbind9-90
(any)
libbind-dev
(any)
libbind-export-dev
(any)
libdns100
(any)
libdns-export100
(any)
libirs-export91
(any)
libisc95
(any)
libisccc90
(any)
libisccfg90
(any)
libisccfg-export90
(any)
libisc-export95
(any)
liblwres90
(any)
lwresd
(any)
Описание
В BIND, реализации DNS-сервера, было обнаружено несколько
уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2017-3136
Олег Горохов из Yandex обнаружил, что BIND неправильно обрабатывает
определённые запросы при использовании DNS64 с опцией "break-dnssec yes;",
что позволяет удалённому злоумышленнику вызывать отказ в обслуживании.
CVE-2017-3137
Было обнаружено, что BIND делает некорректные допущения о
порядке записей в ответном разделе ответа, содержащем
записи CNAME или DNAME, что приводит к ситуациям, когда работа BIND
завершается с ошибкой утверждения. Злоумышленник может использовать
это условие для вызова отказа в обслуживании.
CVE-2017-3138
Майк Лалюмье ищ Dyn, Inc. обнаружил, что работа BIND может завершиться с
ошибкой утверждения REQUIRE в случае, если сервер получает пустую строку команд по
управляющему каналу. Заметьте, что исправление, которое было применено в Debian, применено
лишь для улучшения безопасности. Подробности об этой проблеме можно найти по адресу
https://kb.isc.org/article/AA-01471.
https://kb.isc.org/article/AA-01471">https://kb.isc.org/article/AA-01471.
/>
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1:9.9.5.dfsg-9+deb8u11.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1:9.10.3.dfsg.P4-12.3.
Рекомендуется обновить пакеты bind9.
уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2017-3136
Олег Горохов из Yandex обнаружил, что BIND неправильно обрабатывает
определённые запросы при использовании DNS64 с опцией "break-dnssec yes;",
что позволяет удалённому злоумышленнику вызывать отказ в обслуживании.
CVE-2017-3137
Было обнаружено, что BIND делает некорректные допущения о
порядке записей в ответном разделе ответа, содержащем
записи CNAME или DNAME, что приводит к ситуациям, когда работа BIND
завершается с ошибкой утверждения. Злоумышленник может использовать
это условие для вызова отказа в обслуживании.
CVE-2017-3138
Майк Лалюмье ищ Dyn, Inc. обнаружил, что работа BIND может завершиться с
ошибкой утверждения REQUIRE в случае, если сервер получает пустую строку команд по
управляющему каналу. Заметьте, что исправление, которое было применено в Debian, применено
лишь для улучшения безопасности. Подробности об этой проблеме можно найти по адресу
https://kb.isc.org/article/AA-01471.
https://kb.isc.org/article/AA-01471">https://kb.isc.org/article/AA-01471.
/>
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1:9.9.5.dfsg-9+deb8u11.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1:9.10.3.dfsg.P4-12.3.
Рекомендуется обновить пакеты bind9.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
bind9 - 1:9.9.5.dfsg-9+deb8u11
bind9-doc - 1:9.9.5.dfsg-9+deb8u11
bind9-host - 1:9.9.5.dfsg-9+deb8u11
bind9utils - 1:9.9.5.dfsg-9+deb8u11
dnsutils - 1:9.9.5.dfsg-9+deb8u11
host - 1:9.9.5.dfsg-9+deb8u11
libbind-dev - 1:9.9.5.dfsg-9+deb8u11
libbind-export-dev - 1:9.9.5.dfsg-9+deb8u11
libbind9-90 - 1:9.9.5.dfsg-9+deb8u11
libdns-export100 - 1:9.9.5.dfsg-9+deb8u11
libdns100 - 1:9.9.5.dfsg-9+deb8u11
libirs-export91 - 1:9.9.5.dfsg-9+deb8u11
libisc-export95 - 1:9.9.5.dfsg-9+deb8u11
libisc95 - 1:9.9.5.dfsg-9+deb8u11
libisccc90 - 1:9.9.5.dfsg-9+deb8u11
libisccfg-export90 - 1:9.9.5.dfsg-9+deb8u11
libisccfg90 - 1:9.9.5.dfsg-9+deb8u11
liblwres90 - 1:9.9.5.dfsg-9+deb8u11
lwresd - 1:9.9.5.dfsg-9+deb8u11
Debian GNU/Linux 8:
noarch:
bind9 - 1:9.9.5.dfsg-9+deb8u11
bind9-doc - 1:9.9.5.dfsg-9+deb8u11
bind9-host - 1:9.9.5.dfsg-9+deb8u11
bind9utils - 1:9.9.5.dfsg-9+deb8u11
dnsutils - 1:9.9.5.dfsg-9+deb8u11
host - 1:9.9.5.dfsg-9+deb8u11
libbind-dev - 1:9.9.5.dfsg-9+deb8u11
libbind-export-dev - 1:9.9.5.dfsg-9+deb8u11
libbind9-90 - 1:9.9.5.dfsg-9+deb8u11
libdns-export100 - 1:9.9.5.dfsg-9+deb8u11
libdns100 - 1:9.9.5.dfsg-9+deb8u11
libirs-export91 - 1:9.9.5.dfsg-9+deb8u11
libisc-export95 - 1:9.9.5.dfsg-9+deb8u11
libisc95 - 1:9.9.5.dfsg-9+deb8u11
libisccc90 - 1:9.9.5.dfsg-9+deb8u11
libisccfg-export90 - 1:9.9.5.dfsg-9+deb8u11
libisccfg90 - 1:9.9.5.dfsg-9+deb8u11
liblwres90 - 1:9.9.5.dfsg-9+deb8u11
lwresd - 1:9.9.5.dfsg-9+deb8u11
Ссылки
http://www.debian.org/security/dsa-3854/
Источник: CVE
Наименование: CVE-2017-3138
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3138
Источник: CVE
Наименование: CVE-2017-3136
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3136
Источник: CVE
Наименование: CVE-2017-3137
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3137
Источник: CVE
Наименование: CVE-2017-3138
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3138
Источник: CVE
Наименование: CVE-2017-3136
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3136
Источник: CVE
Наименование: CVE-2017-3137
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3137