Идентификатор: BDU:2022-02881.
Наименование уязвимости: Уязвимость библиотек языка программирования C uClibc и uClibc-ng, связанная с возможностью использования предикабельных идентификаторов транзакций при выполнении DNS-запросов, позволяющая нарушителю перенаправить пользователя на произвольные сайты.
Описание уязвимости: Уязвимость библиотек языка программирования C uClibc и uClibc-ng связана с возможностью использования предикабельных идентификаторов транзакций при выполнении DNS-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, отправлять специально сформированные DNS-пакеты, чтобы повредить DNS-кэш неверными записями и перенаправить пользователей на произвольные сайты
Уязвимое ПО: Операционная система Debian GNU/Linux 9.0 | Операционная система Debian GNU/Linux 10.0 | Прикладное ПО информационных систем uClibc до 0.9.33.2 включительно | Прикладное ПО информационных систем uClibc-ng до 1.0.40 включительно |
Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 90 | Debian GNU/Linux 100 |
Дата выявления: 02.05.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)
Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
– в случае использования собственной версии («форка»), рекомендуется разработка исправления, в которой функция dns_lookup должна обеспечивать генерацию случайных значений TXID DNS при выполнении DNS-запросов;
– ограничение доступа к устройствам из общедоступных сетей (Интернет);
– обеспечение безопасной службы рекурсии DNS с такими функциями, как проверка DNSSEC и промежуточное 0x20-битное кодирование, как часть корпоративных служб рекурсии DNS, где это применимо;
– использование безопасных конфигураций, подходящих для используемой операционной среды (например, отключение встроенного кэширования при наличии кэша более высокого уровня).
Источники информации:
https://kb.cert.org/vuls/id/473698
https://patchwork.ozlabs.org/project/uclibc-ng/list/?state=new.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-30295.
Тип ошибки CWE: CWE-350
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://patchwork.ozlabs.org/project/uclibc-ng/list/?state=new
https://kb.cert.org/vuls/id/473698
https://mailman.openadk.org/mailman3/hyperkitty/list/devel@uclibc-ng.org/thread/6JWRW3P4VN54J5FHUDK7IQOU4V35HHDZ/
https://security-tracker.debian.org/tracker/CVE-2022-30295
