CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

10/02/2012

Fallada en BIND permet que els dominis no s'esborren mai de les caches

S’ha publicat un error en el sistema d’actualització de la memòria caché en els servidors BIND 9.x. Un atacant podria tindre accés a les dades d’un domini després d’haver sigut esborrades estes dades.

Risc: Mitjà

BIND és un servidor DNS que va ser desenrotllat a principi dels 1980 per quatre universitaris de la Universitat de Berkely (Califòrnia). Més avant, el desenrotllament va quedar a càrrec de diversos empleats de DEC perquè, finalment, Paul Vixie fundara ISC, que és l’organització que s’ha encarregat del manteniment d’este programari des d’aquell moment.

L’última versió del programari original va aparéixer al maig de 1997 com a BIND 8. A partir d’eixe moment el desenrotllament començava de zero amb el suport del Govern dels Estats Units conscienciats de la importància de la seguretat dels sistemes DNS. Com a resultat d’açò es va publicar BIND 9, i el servidor DNS és, actualment, el més utilitzat en Internet. L’error permet que un domini continue resolent, fins i tot, quan ha sigut eliminat dels registres dels servidors superiors dels quals pot heretar el DNS i que haja expirat el seu TTL.

Suposem que es vol eliminar un domini fraudulent, usat exclusivament per un troià per a la descàrrega d’un component. Açò és prou comú hui en dia, i la fórmula habitual per a atallar-ho és fer que el registrant elimine el domini. Durant la vida del domini, la resolució es propaga per altres servidors DNS. L’error permetria que, encara que fóra eliminat este domini dels servidors del registrant, no s’atallara el problema quan expiraren el seu TTL. El domini continuaria estant accessible indefinidament i, per tant, la descàrrega del component del troià.

Sistemes Afectats:

Servidors BIND 9.x

Referències:

None

Solució:

Actualment no hi ha solució a este problema, encara que ICS està investigant i preparant un pedaç que solucione esta vulnerabilitat.

Notes:

Ghost Domain Names: Revoked Yet Still Resolvable
https://www.isc.org/software/bind/advisories/cve-2012-1033

Font: Hispasec una-al-día

CSIRT-CV