Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/02/2015
Denegació de servici en BIND 9
S’ha anunciat un problema en BIND 9 pel qual sota un rar conjunt de condicions es poden produir condicions de denegació de servici.Segons llegim en Hispasec, el problema afecta servidors BIND configurats per a realitzar validacions DNSSEC i que usen managed-keys (que ocorre quan s’usa "dnssec-validation auto" o "dnssec-lookaside auto").
El procés named acabarà i denegarà el servici als clients si es reproduïxen les condicions següents al mateix temps en una cadena de confiança:
- Una clau en què es confiava prèviament està actualment marcada com revocada.
- No hi ha altres claus de confiança disponibles
- Hi ha una altra clau en espera, però encara no és de confiança.
ISC ha demostrat en una prova de concepte que un atacant pot reproduir un escenari en què sota condicions limitades i específiques podria provocar una denegació de servici. Es considera que la complexitat de l’atac és molt alt llevat que l’atacant tinga una relació específica en la xarxa del servidor BIND atacat.
El servidor de noms BIND és un dels més usats en Internet. Creat en 1988, en la Universitat de Berkeley, actualment és desenrotllat per l’ISC (Internet System Consortium). BIND es troba disponible per a una àmplia gamma de sistemes tant Unix com Microsoft Windows.
Sistemes Afectats:Es veuen afectades les versions BIND 9.7.0 a BIND 9.10.1-P1, així com les versions de desenrotllament b1 i rc1 (9.9.7b1 i rc1, 9.10.2b1 i rc1).
Referències:CVE-2015-1349
Solució:Es recomana actualitzar a la versió més recent (BIND 9.9.6-P2 y BIND 9.10.1-P2) en http://www.isc.org/downloads.
També s’ha corregit en les versions en desenrotllament BIND 9.9.7rc2 i BIND 9.10.2rc2.
Notes:CVE-2015-1349: A Problem with Trust Anchor Management Can Cause named to Crash