Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/04/2017
Se publican nuevas versiones del servidor DNS BIND 9
Con el fin de solucionar tres vulnerabilidades se han publicado nuevas versiones del servidor DNS BIND 9. Con las nuevas actualizaciones se consigue solucionar los problemas de denegación de servicio que se daban en las versiones anteriores.Una de las vulnerabilidades, la CVE-2017-3137 ha sido calificada como alta mientras que las otras dos con CVE-2017-3136 y CVE-2017-3138 han sido consideradas de gravedad media.
La vulnerabilidad más grave CVE-2017-3137 es provocada porque en una posible respuesta que contenga registros de recursos CNAME o DNAME puede asumirse de forma errónea el orden de los registros. Por otra parte la CVE-2017-3136 puede provocar un fallo de aserción y caída del servidor que use DNS64. Finalmente la CVE-2017-3138 puede provocar un fallo de aserción si se recibe una cadena de comando nula.
Sistemas Afectados:Versiones anteriores a:
BIND 9.9.9-P8, 9.10.4-P8, 9.11.0-P5 y 9.9.9-S10
CVE-2017-3137, CVE-2017-3136, CVE-2017-3138
Solución:Actualizar a las nuevas versiones:
BIND 9.9.9-P8, 9.10.4-P8, 9.11.0-P5 y 9.9.9-S10
http://www.isc.org/downloads.
Más información:
CVE-2017-3137: A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME
https://kb.isc.org/article/AA-01466
CVE-2017-3136: An error handling synthesized records could cause an assertion failure when using DNS64 with "break-dnssec yes;"
https://kb.isc.org/article/AA-01465
CVE-2017-3138: named exits with a REQUIRE assertion failure if it receives a null command string on its control channel
https://kb.isc.org/article/AA-01471