PT-2022-4907 · Openssl+5 · Openssl+5
Publicado
2022-08-18
·
Atualizado
2024-06-15
·
CVE-2022-2906
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do BIND anteriores à versão corrigida
Descrição
A vulnerabilidade permite que um invasor esgote gradualmente a memória disponível, podendo causar a falha do serviço em questão devido à falta de recursos. Ao reiniciar, o invasor teria que recomeçar, mas ainda existe a possibilidade de causar uma negação de serviço. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. A vulnerabilidade está relacionada a um vazamento de memória ao lidar com registros TKEY usando o algoritmo de troca de chaves Diffie-Hellman com o OpenSSL 3.0.0 e versões posteriores.
Recomendações
Para versões do BIND anteriores à versão corrigida, considere aplicar um patch ou atualização para resolver o problema. Como solução temporária, restrinja o acesso à funcionalidade de tratamento de registros TKEY para minimizar o risco de exploração. Além disso, monitore os recursos do sistema para detectar e responder rapidamente a possíveis ataques de negação de serviço. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Memory Leak
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bind
Bind Server
Linuxmint
Openssl
Red Os
Ubuntu