Спуфинг атака в ISC BIND

Дата публикации:
11.01.2009
Дата изменения:
02.11.2011
Всего просмотров:
3311
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:6.4/Temporal:4.7
CVE ID:
CVE-2009-0025
CVE-2008-5077
Вектор эксплуатации:
Удаленная
Воздействие:
Спуфинг атака
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
ISC BIND 9.2.x
ISC BIND 9.3.x
ISC BIND 9.4.x
ISC BIND 9.5.x
ISC BIND 9.6.x
Уязвимые версии:
BIND 9.0 все версии
BIND 9.1 все версии
BIND 9.2 все версии
BIND 9.3.0, 9.3.1, 9.3.2, 9.3.3, 9.3.4, 9.3.5, 9.3.6
BIND 9.4.0, 9.4.1, 9.4.2, 9.4.3
BIND 9.5.0, 9.5.1
BIND 9.6.0

Описание:
Уязвимость позволяет удаленному пользователю произвести спуфинг атаку.

Уязвимость существует из-за того, что некоторые функции ISC BIND некорректно проверяют данные, возвращаемые OpenSSL функциями "EVP_VerifyFinal()" и "DSA_do_verify()", при проверке подлинности DSA и NSEC3DSA ключей. Удаленный пользователь может подменить ответы от зон, использующих DSA или NSEC3DSA ключи. Для успешной эксплуатации уязвимости зона должна использовать DSA или NSEC3DSA алгоритмы.

Уязвимость относится к:
www.securitylab.ru/vulnerability/366014.php

URL производителя: www.isc.org/software/bind

Решение: Установите последнюю версию 9.3.6-P1, 9.4.3-P1, 9.5.1-P1 или 9.6.0-P1 с сайта производителя. В качестве временного решения производитель рекомендует запретить использование DSA и NSEC3DSA алгоритмов.

Журнал изменений: 02.11.2011
Незначительные изменения.

или введите имя

CAPTCHA