Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2021-06246

CVSS: 7.5

11.12.2019

Уязвимость функции dname_pkt_copy DNS-сервера Unbound, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость функции dname_pkt_copy DNS-сервера Unbound связана с недостатком использования функции assert(). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	11.12.2019
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Манипулирование структурами данных
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для unbound: https://ostif.org/our-audit-of-unbound-dns-by-x41-d-sec-full-results/ Для Debian GNU/Linux: https://lists.debian.org/debian-lts-announce/2021/05/msg00007.html https://security-tracker.debian.org/tracker/CVE-2019-25037 Для Ubuntu: https://ubuntu.com/security/CVE-2019-25037 https://ubuntu.com/security/notices/USN-4938-1 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2019-25037 Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17 Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-617	assert failure CWE-617

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2019-25037	Unbound before 1.9.5 allows an assertion failure and denial of service in dname_pkt_copy via an invalid packet. NOTE: The ven...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
7.8	HIGH	2.0	AV:N/AC:L/Au:N/C:N/I:N/A:C
7.5	HIGH	3.0	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2019-25037

Вендор:	Red Hat Inc. Сообщество свободного программного обеспечения Canonical Ltd. Stichting NLnet Labs ООО «РусБИТех-Астра»
Тип ПО:	Операционная система ПО сетевого программно-аппаратного средства
Наименование ПО:	Red Hat Enterprise Linux Debian GNU/Linux Ubuntu Unbound Astra Linux Special Edition
Версия ПО:	6 (Red Hat Enterprise Linux) 7 (Red Hat Enterprise Linux) 9 (Debian GNU/Linux) 18.04 LTS (Ubuntu) 8 (Red Hat Enterprise Linux) 20.04 LTS (Ubuntu) до 1.9.5 (Unbound) 1.7 (Astra Linux Special Edition) 4.7 (Astra Linux Special Edition)
ОС и аппаратные платформы:	Red Hat Enterprise Linux (6) Red Hat Enterprise Linux (7) Debian GNU/Linux (9) Ubuntu (18.04 LTS) Red Hat Enterprise Linux (8) Ubuntu (20.04 LTS) Astra Linux Special Edition (1.7) Astra Linux Special Edition (4.7)
Ссылки на источники:	https://ostif.org/our-audit-of-unbound-dns-by-x41-d-sec-full-results/ https://lists.debian.org/debian-lts-announce/2021/05/msg00007.html https://security-tracker.debian.org/tracker/CVE-2019-25037 https://ubuntu.com/security/CVE-2019-25037 https://ubuntu.com/security/notices/USN-4938-1 https://access.redhat.com/security/cve/cve-2019-25037 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2021-06246