Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
26/07/2012
Dos vulnerabilidades en ISC BIND
Se ha informado de dos vulnerabilidades en ISC BIND, que podrían ser aprovechadas por atacantes maliciosos para provocar una denegación de servicio.Se ha informado de dos vulnerabilidades en ISC BIND, que podrían ser aprovechadas por atacantes maliciosos para provocar una denegación de servicio.
1) Un error cuando se manejan determinadas peticiones podría se aprovechado para utilizar una estructura de datos "mal cacheados" y lanzar una afirmación.
Para explotar satisfactoriamente esta vulnerabilidad es necesario que la validación DNSSEC esté activada.
Esta vulnerabilidad está reportada en versiones desde la 9.6-ESV-R1 hasta la 9.6-ESV-R7-P1, desde la 9.7.1 hasta la 9.7.6-P1, desde la 9.8.0 hasta la 9.8.3-P1 y desde la 9.9.0 hasta la 9.9.1-P1.
2) Un error de fuga de memoria cuando se procesan peticiones TCP podría ser explotado para incrementar el número de objetos ns_client perdidos y lanzar una condición de "fuera de memoria".
Esta vulnerabilidad ha sido reportada en versiones desde la 9.9.0 hasta la 9.9.1-P1.
Sistemas Afectados:ISC BIND 9.6.x
ISC BIND 9.7.x
ISC BIND 9.8.x
ISC BIND 9.9.x
Referencias:CVE-2012-3817, CVE-2012-3868
Solución:Actualizar a las versiones 9.9.1-P2, 9.8.3-P2, 9.7.6-P2 o 9.6-ESV-R7-P2.
Notas:https://www.isc.org/software/aftr/advisories/cve-2012-3817
https://www.isc.org/software/bind/advisories/cve-2012-3868