ISC BIND 9 többszörös sérülékenység

CH azonosító: CH-14893
Cím: ISC BIND 9 többszörös sérülékenység
Angol cím: ISC BIND 9 multiple vulnerabilities

Publikálás dátuma: 2020.05.22.
Utolsó módosítás dátuma: 2020.05.22.


Leírás

A CVE-2020-8616 és a CVE-2020-8617 számokon a BIND 9 rendszert érintő két magas besorolású sérülékenység vált ismertté.


Leírás forrása: Egyéb referencia: www.jpcert.or.jp
Leírás utolsó módosítása: 2020.05.22.


Elemzés leírás

A BIND az internetes tartománynévrendszer (DNS) egy megvalósítása. A BIND 9, a BIND legfrissebb kiadása.
A most ismertetett sérülékenységek az DNS kérések nem megfelelő módon történő ellenőrzéséből, illetve feldolgozásából adódnak. A távoli támadó a sérülékenységeket kihasználva csökkentheti a DNS szerver teljesítményét, azt további támadásokhoz is használhatja (CVE-2020-8616), vagy elérheti, hogy a kiszolgáló egy inkonzisztens/hibás állapotban működjön tovább (CVE-2020-8617).

Egy új támadástípus, az NXNSAttack ezeket a biztonsági réseket használja ki.

A sérülékenységet az összes támogatott Microsoft szerver termék is tartalmazza.

Intézetünk javasolja az érintett rendszerek legfrissebb verziójának mielőbbi telepítését – és annak helyes működésének tesztelését.

Érintett rendszerek:
– BIND 9.16.x a 9.16.0 és 9.16.2 közötti verziók
– BIND 9.14.x a 9.14.0 és 9.14.11 közötti verziók
– BIND 9.11.x a 9.11.0 és 9.11.18 közötti verziók
– BIND Supported Preview Edition a 9.9.3-S1 és 9.11.18-S1 közötti verziók

A 9.10.x, 9.12.x, 9.13.x és 9.15.x már nem támogatott verziók, illetve a fejlesztés alatt álló 9.17.x verzió is rendelkezik az említett sérülékenységgel.


Elemzés leírás forrása: Egyéb referencia: www.jpcert.or.jp
Elemzés leírás utolsó módosítása: 2020.05.22.


Hatás

CVSS3 Severity and Metrics

Base score: 8.6 (Magas)
Vector: AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
Impact Score: 4.0
Exploitability Score: 3.9


Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Changed
Confidentiality Impact (C): None
Integrity Impact (I): None
Availability Impact (A): High

CVSS2 Severity and Metrics

Base score: 5.0 (Közepes)
Vector: (AV:N/AC:L/Au:N/C:N/I:N/A:P)
Impact Subscore: 2.9
Exploitability Subscore: 10


Access Complexity (AC): Low
Confidentiality Impact (C): None
Integrity Impact (S): None
Availability Impact (A):


Hivatkozások

Egyéb referencia: portal.msrc.microsoft.com
Egyéb referencia: www.jpcert.or.jp
Egyéb referencia: www.nxnsattack.com
Egyéb referencia: en.blog.nic.cz
CVE-2020-8616 - NVD CVE-2020-8616
CVE-2020-8617 - NVD CVE-2020-8617