ISC BIND 9 többszörös sérülékenység

CH azonosító: CH-14893
Cím: ISC BIND 9 többszörös sérülékenység
Angol cím: ISC BIND 9 multiple vulnerabilities

Publikálás dátuma: 2020.05.22.
Utolsó módosítás dátuma: 2020.05.22.


Leírás

A CVE-2020-8616 és a CVE-2020-8617 számokon a BIND 9 rendszert érintő két magas besorolású sérülékenység vált ismertté.


Leírás forrása: Egyéb referencia: www.jpcert.or.jp
Leírás utolsó módosítása: 2020.05.22.


Elemzés leírás

A BIND az internetes tartománynévrendszer (DNS) egy megvalósítása. A BIND 9, a BIND legfrissebb kiadása.
A most ismertetett sérülékenységek az DNS kérések nem megfelelő módon történő ellenőrzéséből, illetve feldolgozásából adódnak. A távoli támadó a sérülékenységeket kihasználva csökkentheti a DNS szerver teljesítményét, azt további támadásokhoz is használhatja (CVE-2020-8616), vagy elérheti, hogy a kiszolgáló egy inkonzisztens/hibás állapotban működjön tovább (CVE-2020-8617).

Egy új támadástípus, az NXNSAttack ezeket a biztonsági réseket használja ki.

A sérülékenységet az összes támogatott Microsoft szerver termék is tartalmazza.

Intézetünk javasolja az érintett rendszerek legfrissebb verziójának mielőbbi telepítését – és annak helyes működésének tesztelését.

Érintett rendszerek:
– BIND 9.16.x a 9.16.0 és 9.16.2 közötti verziók
– BIND 9.14.x a 9.14.0 és 9.14.11 közötti verziók
– BIND 9.11.x a 9.11.0 és 9.11.18 közötti verziók
– BIND Supported Preview Edition a 9.9.3-S1 és 9.11.18-S1 közötti verziók

A 9.10.x, 9.12.x, 9.13.x és 9.15.x már nem támogatott verziók, illetve a fejlesztés alatt álló 9.17.x verzió is rendelkezik az említett sérülékenységgel.


Elemzés leírás forrása: Egyéb referencia: www.jpcert.or.jp
Elemzés leírás utolsó módosítása: 2020.05.22.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 8.6 (Magas)
Vektor: AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
Hatás pontszáma: 4.0
Kihasználhatóság pontszáma: 3.9


Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Változott
Bizalmasság Hatása (C): Nincs
Sértetlenség Hatása (I): Nincs
Rendelkezésre állás Hatása (A): Magas

CVSS2 Súlyosság és Metrika

Alap pontszám: 5.0 (Közepes)
Vektor: (AV:N/AC:L/Au:N/C:N/I:N/A:P)
Hatás alpontszáma: 2.9
Kihasználhatóság alpontszáma: 10


Hozzáférés Komplexitása (AC): Alacsony
Bizalmasság Hatása (C): Nincs
Sértetlenség Hatása (S): Nincs
Rendelkezésre állás Hatása (A):


Hivatkozások

Egyéb referencia: portal.msrc.microsoft.com
Egyéb referencia: www.jpcert.or.jp
Egyéb referencia: www.nxnsattack.com
Egyéb referencia: en.blog.nic.cz
CVE-2020-8616 - NVD CVE-2020-8616
CVE-2020-8617 - NVD CVE-2020-8617