Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/02/2015
Denegación de servicio en BIND 9
Se ha anunciado un problema en BIND 9 por el que bajo un raro conjunto de condiciones se pueden producir condiciones de denegación de servicio.Según leemos en Hispasec, el problema afecta a servidores BIND configurados para realizar validaciones DNSSEC y que usen managed-keys (que ocurre cuando se usa "dnssec-validation auto;" o "dnssec-lookaside auto;").
El proceso named terminará y denegará el servicio a los clientes si se reproducen las siguientes condiciones al mismo tiempo en una cadena de confianza:
- Una clave en la que se confiaba previamente está actualmente marcada como revocada.
- No hay otras claves de confianza disponibles
- existe otra llave en espera, pero todavía no es de confianza.
ISC ha demostrado en una prueba de concepto que un atacante puede reproducir un escenario en el que bajo condiciones limitadas y específicas podría provocar una denegación de servicio. Se considera que la complejidad del ataque es muy alta salvo que el atacante tenga una relación específica en la red del servidor BIND atacado.
El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.
Sistemas Afectados:Se ven afectadas las versiones BIND 9.7.0 a BIND 9.10.1-P1, así como las versiones de desarrollo b1 y rc1 (9.9.7b1 y rc1, 9.10.2b1 y rc1).
Referencias:CVE-2015-1349
Solución:Se recomienda actualizar a la versión más reciente (BIND 9.9.6-P2 y BIND 9.10.1-P2) en http://www.isc.org/downloads.
También se ha corregido en las versiones en desarrollo BIND 9.9.7rc2 y BIND 9.10.2rc2.
Notas:CVE-2015-1349: A Problem with Trust Anchor Management Can Cause named to Crash