Subject: [ASA-202005-13] bind: отказ в обслуживании

Рекомендация по безопасности UBLinux ASA-202005-13
==================================================

Уровень  : Высокий
Дата     : 2020-05-20
CVE-ID   : CVE-2020-8616
Пакет    : bind
Тип      : отказ в обслуживании
Удалённо : Да
Ссылка   : https://security.ublinux.ru/AVG-18

Сводка
=======

Пакет bind до версии 9.16.3-1 имеет уязвимость отказ в обслуживании.

Решение
==========

Обновление до версии 9.16.3-1.

# pacman -Syu "bind>=9.16.3-1"

Проблема устранена в апстриме в версии 9.16.3.

Путь для обхода
==========

Нет.

Описание
===========

Проблема была обнаружена в привязке до версии 9.16.3, которая
недостаточно ограничивает количество выборок, которые могут выполняться
при обработке ответа о переходе. Злоумышленник, который намеренно
использует это отсутствие эффективного ограничения количества выборок,
выполняемых при обработке рефералов, может с помощью специально
созданных рефералов заставить рекурсивный сервер выдавать очень большое
количество выборок в попытке обработать отсылку. Это имеет как минимум
два потенциальных эффекта: производительность рекурсивного сервера
может потенциально снизиться из-за дополнительной работы, необходимой
для выполнения этих выборок, и злоумышленник может использовать это
поведение, чтобы использовать рекурсивный сервер в качестве отражателя
в атаке отражения с высокой коэффициент усиления.

Влияние
======

Удаленный злоумышленник может использовать рекурсор, имеющий вектор
усиления, чтобы вызвать отказ в обслуживании с помощью созданного
ответа. Кроме того, удаленный злоумышленник может вывести приложение из
строя, угадав имя ключа TSIG.

Рекомендации
==========

https://kb.isc.org/docs/cve-2020-8616
https://kb.isc.org/docs/cve-2020-8617
https://kb.isc.org/docs/cve-2020-8617-faq-and-supplemental-information
http://www.nxnsattack.com/
https://security.ublinux.ru/CVE-2020-8616