CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

03/09/2015

Denegació de servici en BIND

S’han publicat dos avisos de seguretat crítics que podrien causar el tancament de l’aplicació, i, per tant, la denegació del servici.

Risc: Crític

El primer avís (AA-01287) mostra una vulnerabilitat en el processament de les claus DNSSEC que pot ocasionar la fallada i el consegüent tancament del servidor. Un atacant remot pot forçar esta condició fent una consulta la resposta de la qual provinga d’una zona amb una clau malformada per a explotar esta vulnerabilitat.

El segon avís (AA-01291) tracta un problema de comprovació de límits en el fitxer openpgpkey_61.c, que pot ocasionar el tancament del servidor. Esta fallada també pot ser explotada per un atacant remot, si proporciona una resposta maliciosa a una petició.

Sistemes Afectats:

BIND versions 9.0.0 fins a 9.8.8
BIND versions 9.9.0 fins a 9.9.7-P2
BIND versions 9.10.0 fins a 9.10.2-P3

Referències:

CVE-2015-5722, CVE-2015-5986

Solució:

S’han publicat les versions següents que corregixen la vulnerabilitat:

Es poden obtindre de la pàgina pàgina oficial de descàrregues.

Notes:

AA-01291
AA-01287

Font: ISC

CSIRT-CV