Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/09/2015
Denegación de servicio en BIND
Se han publicado dos avisos de seguridad críticos que podrían causar el cierre de la aplicación, y por tanto denegación de servicio.El primer aviso (AA-01287) muestra una vulnerabilidad en el procesamiento de las claves DNSSEC que puede ocasionar el fallo, y consiguiente cierre, del servidor. Un atacante remoto puede forzar esta condición haciendo una consulta cuya respuesta provenga de una zona con una clave malformada para explotar esta vulnerabilidad.
El segundo aviso (AA-01291) trata un problema de comprobación de límites en el fichero openpgpkey_61.c, que puede ocasionar el cierre del servidor. Este fallo también puede ser explotado por un atacante remoto, si proporciona una respuesta maliciosa a una petición.
Sistemas Afectados:BIND versiones 9.0.0 hasta 9.8.8
BIND versiones 9.9.0 hasta 9.9.7-P2
BIND versiones 9.10.0 hasta 9.10.2-P3
CVE-2015-5722, CVE-2015-5986
Solución:Se han publicado las siguientes versiones que corrigen la vulnerabilidad:
- BIND 9 version 9.9.7-P3
- BIND 9 version 9.10.2-P4
Se pueden obtener de la página oficial de descargas.
Notas: