Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
bind9
(any)
bind9-doc
(any)
bind9-host
(any)
bind9utils
(any)
dnsutils
(any)
host
(any)
libbind9-140
(any)
libbind9-90
(any)
libbind-dev
(any)
libbind-export-dev
(any)
libdns100
(any)
libdns162
(any)
libdns-export100
(any)
libdns-export162
(any)
libirs141
(any)
libirs-export141
(any)
libirs-export91
(any)
libisc160
(any)
libisc95
(any)
libisccc140
(any)
libisccc90
(any)
libisccc-export140
(any)
libisccfg140
(any)
libisccfg90
(any)
libisccfg-export140
(any)
libisccfg-export90
(any)
libisc-export160
(any)
libisc-export95
(any)
liblwres141
(any)
liblwres90
(any)
lwresd
(any)
Описание
Клеман Берто из Synaktiv обнаружил две уязвимости в BIND, реализации
DNS-сервера. Они позволяют злоумышленнику обходит TSIG-аутентификацию
путём отправки на сервер специально сформированных DNS-пакетов.
CVE-2017-3142
Злоумышленник, способный отправлять сообщения авторитетному DNS-серверу и
получать его ответы, а также знающий имя корректного TSIG-ключа, может
обойти TSIG-аутентификацию AXFR-запросов с помощью специально сформированного
пакета запроса. Сервер, использующий для защиты только TSIG-ключи
без какого-либо дополнительного списка контроля доступа, может
предоставить AXFR зоны неавторизованному получателю
принять поддельные NOTIFY-пакеты
CVE-2017-3143
Злоумышленник, способный отправить сообщения авторитетному DNS-серверу и получать
его ответы, а также знающий имя корректного TSIG-ключа для зоны и избранной в качестве
цели службы, может вызвать ситуацию, при которой BIND примет
неавторизованное динамическое обновление.
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 1:9.9.5.dfsg-9+deb8u12.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 1:9.10.3.dfsg.P4-12.4.
Рекомендуется обновить пакеты bind9.
DNS-сервера. Они позволяют злоумышленнику обходит TSIG-аутентификацию
путём отправки на сервер специально сформированных DNS-пакетов.
CVE-2017-3142
Злоумышленник, способный отправлять сообщения авторитетному DNS-серверу и
получать его ответы, а также знающий имя корректного TSIG-ключа, может
обойти TSIG-аутентификацию AXFR-запросов с помощью специально сформированного
пакета запроса. Сервер, использующий для защиты только TSIG-ключи
без какого-либо дополнительного списка контроля доступа, может
предоставить AXFR зоны неавторизованному получателю
принять поддельные NOTIFY-пакеты
CVE-2017-3143
Злоумышленник, способный отправить сообщения авторитетному DNS-серверу и получать
его ответы, а также знающий имя корректного TSIG-ключа для зоны и избранной в качестве
цели службы, может вызвать ситуацию, при которой BIND примет
неавторизованное динамическое обновление.
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 1:9.9.5.dfsg-9+deb8u12.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 1:9.10.3.dfsg.P4-12.4.
Рекомендуется обновить пакеты bind9.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
bind9 - 1:9.10.3.dfsg.P4-12.3+deb9u1
bind9-doc - 1:9.10.3.dfsg.P4-12.3+deb9u1
bind9-host - 1:9.10.3.dfsg.P4-12.3+deb9u1
bind9utils - 1:9.10.3.dfsg.P4-12.3+deb9u1
dnsutils - 1:9.10.3.dfsg.P4-12.3+deb9u1
host - 1:9.10.3.dfsg.P4-12.3+deb9u1
libbind-dev - 1:9.10.3.dfsg.P4-12.3+deb9u1
libbind-export-dev - 1:9.10.3.dfsg.P4-12.3+deb9u1
libbind9-140 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libdns-export162 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libdns162 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libirs-export141 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libirs141 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libisc-export160 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libisc160 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libisccc-export140 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libisccc140 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libisccfg-export140 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libisccfg140 - 1:9.10.3.dfsg.P4-12.3+deb9u1
liblwres141 - 1:9.10.3.dfsg.P4-12.3+deb9u1
lwresd - 1:9.10.3.dfsg.P4-12.3+deb9u1
Debian GNU/Linux 8:
noarch:
bind9 - 1:9.9.5.dfsg-9+deb8u12
bind9-doc - 1:9.9.5.dfsg-9+deb8u12
bind9-host - 1:9.9.5.dfsg-9+deb8u12
bind9utils - 1:9.9.5.dfsg-9+deb8u12
dnsutils - 1:9.9.5.dfsg-9+deb8u12
host - 1:9.9.5.dfsg-9+deb8u12
libbind-dev - 1:9.9.5.dfsg-9+deb8u12
libbind-export-dev - 1:9.9.5.dfsg-9+deb8u12
libbind9-90 - 1:9.9.5.dfsg-9+deb8u12
libdns-export100 - 1:9.9.5.dfsg-9+deb8u12
libdns100 - 1:9.9.5.dfsg-9+deb8u12
libirs-export91 - 1:9.9.5.dfsg-9+deb8u12
libisc-export95 - 1:9.9.5.dfsg-9+deb8u12
libisc95 - 1:9.9.5.dfsg-9+deb8u12
libisccc90 - 1:9.9.5.dfsg-9+deb8u12
libisccfg-export90 - 1:9.9.5.dfsg-9+deb8u12
libisccfg90 - 1:9.9.5.dfsg-9+deb8u12
liblwres90 - 1:9.9.5.dfsg-9+deb8u12
lwresd - 1:9.9.5.dfsg-9+deb8u12
Debian GNU/Linux 9:
noarch:
bind9 - 1:9.10.3.dfsg.P4-12.3+deb9u1
bind9-doc - 1:9.10.3.dfsg.P4-12.3+deb9u1
bind9-host - 1:9.10.3.dfsg.P4-12.3+deb9u1
bind9utils - 1:9.10.3.dfsg.P4-12.3+deb9u1
dnsutils - 1:9.10.3.dfsg.P4-12.3+deb9u1
host - 1:9.10.3.dfsg.P4-12.3+deb9u1
libbind-dev - 1:9.10.3.dfsg.P4-12.3+deb9u1
libbind-export-dev - 1:9.10.3.dfsg.P4-12.3+deb9u1
libbind9-140 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libdns-export162 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libdns162 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libirs-export141 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libirs141 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libisc-export160 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libisc160 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libisccc-export140 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libisccc140 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libisccfg-export140 - 1:9.10.3.dfsg.P4-12.3+deb9u1
libisccfg140 - 1:9.10.3.dfsg.P4-12.3+deb9u1
liblwres141 - 1:9.10.3.dfsg.P4-12.3+deb9u1
lwresd - 1:9.10.3.dfsg.P4-12.3+deb9u1
Debian GNU/Linux 8:
noarch:
bind9 - 1:9.9.5.dfsg-9+deb8u12
bind9-doc - 1:9.9.5.dfsg-9+deb8u12
bind9-host - 1:9.9.5.dfsg-9+deb8u12
bind9utils - 1:9.9.5.dfsg-9+deb8u12
dnsutils - 1:9.9.5.dfsg-9+deb8u12
host - 1:9.9.5.dfsg-9+deb8u12
libbind-dev - 1:9.9.5.dfsg-9+deb8u12
libbind-export-dev - 1:9.9.5.dfsg-9+deb8u12
libbind9-90 - 1:9.9.5.dfsg-9+deb8u12
libdns-export100 - 1:9.9.5.dfsg-9+deb8u12
libdns100 - 1:9.9.5.dfsg-9+deb8u12
libirs-export91 - 1:9.9.5.dfsg-9+deb8u12
libisc-export95 - 1:9.9.5.dfsg-9+deb8u12
libisc95 - 1:9.9.5.dfsg-9+deb8u12
libisccc90 - 1:9.9.5.dfsg-9+deb8u12
libisccfg-export90 - 1:9.9.5.dfsg-9+deb8u12
libisccfg90 - 1:9.9.5.dfsg-9+deb8u12
liblwres90 - 1:9.9.5.dfsg-9+deb8u12
lwresd - 1:9.9.5.dfsg-9+deb8u12
Ссылки
http://www.debian.org/security/dsa-3904/
Источник: CVE
Наименование: CVE-2017-3143
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3143
Источник: CVE
Наименование: CVE-2017-3142
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3142
Источник: CVE
Наименование: CVE-2017-3143
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3143
Источник: CVE
Наименование: CVE-2017-3142
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3142