Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/05/2011
Denegació de servici a través de consultes RRSIG en ISC BIND 9
L'Internet Systems Consortium (ISC), patrocinador del servidor DNS més usat, BIND, informa sobre una vulnerabilitat trobada en la branca 9 del producte. Encara que matisa que la dita vulnerabilitat únicament afecta usuaris que utilitzen la característica RPZ.Normalment, els servidors de noms configurats, per a usar recursivitat, reenvien les seues respostes al servidor que origina la resposta. RPZ (Respon-se Policy Zones) és un mecanisme implementat per BIND 9.8.0, per a modificar en els servidors de noms recursius les respostes, d'acord amb un conjunt de regles definides local o remotament (importades d'un servidor en què es confie).
Per a utilitzar RPZ, BIND ha de ser compilat amb les opcions "--enable-rpz-nsip" o "--enable-rpz-nsdname". Açò permet utilitzar la directiva "response-policy" en la configuració. Pot ser utilitzat per a reemplaçar el Resource Rècord Set (RRset). Es tracta del conjunt de tots els registres per a un tipus concret (A, MX, NS...) per a un domini. Per exemple RRSIG és un registre de firma utilitzat en DNSSEC.
Quan s'utilitza RPZ, una consulta de tipus RRSIG per a un nom que haja sigut configurat a través de les polítiques RPZ perquè es reemplace el seu RRset, farà que el servidor deixe de respondre.
Actualment no es coneixen exploits que s’aprofiten d’aquesta vulnerabilitat; encara que sí que és cert que alguns validadors DNSSEC envien legítimament consultes del tipus RRSIG, i poden causar la denegació de servei.
ISC Bind 9.8.x
Referències:CVE-2011-1907
Solució:Com a solució, ISC aconsella evitar l'ús de RPZ per a realitzar reemplaçaments RRset.
També es pot actualitzar l'aplicació a la versió 9.8.0-P1 o superior.
http://www.hispasec.com/unaaldia/4579
https://www.isc.org/CVE-2011-1907
http://www.vupen.com/english/advisories/2011/1183
http://secunia.com/advisories/44416/