Уязвимость библиотек языка программирования C uClibc и uClibc-ng связана с возможностью использования предикабельных идентификаторов транзакций при выполнении DNS-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, отправлять специально сформированные DNS-пакеты, чтобы повредить DNS-кэш неверными записями и перенаправить пользователей на произвольные сайты
BDU:2022-02881
CVE-2022-30295
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- в случае использования собственной версии («форка»), рекомендуется разработка исправления, в которой функция dns_lookup должна обеспечивать генерацию случайных значений TXID DNS при выполнении DNS-запросов;
- ограничение доступа к устройствам из общедоступных сетей (Интернет);
- обеспечение безопасной службы рекурсии DNS с такими функциями, как проверка DNSSEC и промежуточное 0x20-битное кодирование, как часть корпоративных служб рекурсии DNS, где это применимо;
- использование безопасных конфигураций, подходящих для используемой операционной среды (например, отключение встроенного кэширования при наличии кэша более высокого уровня).
Источники информации:
https://kb.cert.org/vuls/id/473698
https://patchwork.ozlabs.org/project/uclibc-ng/list/?state=new
BDU:2022-02881
CVE-2022-30295
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- в случае использования собственной версии («форка»), рекомендуется разработка исправления, в которой функция dns_lookup должна обеспечивать генерацию случайных значений TXID DNS при выполнении DNS-запросов;
- ограничение доступа к устройствам из общедоступных сетей (Интернет);
- обеспечение безопасной службы рекурсии DNS с такими функциями, как проверка DNSSEC и промежуточное 0x20-битное кодирование, как часть корпоративных служб рекурсии DNS, где это применимо;
- использование безопасных конфигураций, подходящих для используемой операционной среды (например, отключение встроенного кэширования при наличии кэша более высокого уровня).
Источники информации:
https://kb.cert.org/vuls/id/473698
https://patchwork.ozlabs.org/project/uclibc-ng/list/?state=new