25-11-2009
ISC BIND versiones 9.0.x
ISC BIND versiones 9.1.x
ISC BIND versiones 9.2.x
ISC BIND versiones 9.3.x
ISC BIND versiones de la 9.4.0 a la 9.4.3-P3
ISC BIND versión 9.5.0
ISC BIND versión 9.5.1
ISC BIND versión 9.5.2
ISC BIND versión 9.6.0
ISC BIND versión 9.6.1-P1
ISC BIND versiones anteriores a la 9.7.0b3
Riesgo: Medio
Descripción:Este problema se debe a los servidores de nombres (DNS) con la validación de DNSSEC habilitada. Estos agregar incorrectamente registros a su caché de la sección adicional de las respuestas recibidas durante la resolución de una consulta recursiva que puede ser explotada para manipular los datos de la caché.
Solución:Actualizar ISC BIND a las versiones 9.4.3-P4, 9.5.2-P1, 9.6.1-P2 o 9.7.0b3 desde:
https://www.isc.org/software/bind
No hay soluciones disponibles para las versiones de BIND de 9.0 a 9.3 ya que están fuera de soporte.
Desde ISC también aconsejan asegurarse de que la recursividad está adecuadamente restringida a través de la opción 'allow-recursion' en el fichero de configuración "named.conf". La desactivación de la validación DNSSEC también evitaría el almacenamiento incorrecto en caché de registros adicionales debido a este defecto. Sin embargo, esto elimina la protección de validación de DNSSEC y la capacidad del servidor de nombres para entregar los datos autenticados en las respuestas a una consulta.
https://www.isc.org/node/504
http://www.vupen.com/english/advisories/2009/3327
Mapa Web