jueves, 26 de julio de 2012

Solucionadas dos vulnerabilidades en BIND 9


ISC ha confirmado dos vulnerabilidades que afectan a BIND 9 y que podría permitir a un atacante remoto causar condiciones de denegación de servicio.


BIND (Berkeley Internet Name Domain) es el software para servidores de gestión del protocolo DNS más utilizado en Internet gracias a su alta compatibilidad con los estándares de este protocolo.

El primero de los problemas, con CVE-2012-3817, solo afecta a sistemas configurados con validación DNSSEC. BIND 9 almacena una caché con los nombres de las consultas que sabe que están fallando debido a una mala configuración de los servidores de nombres o a una rotura de la cadena de confianza. Bajo grandes cargas de consultas cuando la validación DNSSEC está activa, es posible provocar una condición en que se usen los datos de esta caché de consultas fallidas antes de que esté totalmente inicializada, provocando un error de aserción. Afecta a las versiones 9.6-ESV-R1 hasta 9.6-ESV-R7-P1; 9.7.1 hasta 9.7.6-P1; 9.8.0 hasta 9.8.3-P1; 9.9.0 hasta 9.9.1-P1. Las versiones de BIND 9.4 y 9.5 también se ven afectadas, pero estas ramas están fura del soporte y no se van a publicar actualizaciones de de seguridad.

Por otra parte, el problema con CVE-2012-3868 afecta a las versiones 9.9.0 hasta 9.9.1-P1. BIND 9 realiza el seguimiento de las consultas entrantes a través de una estructura llamada "ns_client". Cuando se ha respondido una consulta y la estructura "ns_client" ya no es necesaria, se almacena en una cola de "ns_client" inactivos. Cuando se necesita un nuevo "ns_client" para una nueva consulta, se comprueba la cola para ver si hay disponible algún "ns_client" inactivo antes de asignar uno nuevo. Esto acelera el sistema, evitando asignaciones y desasignaciones de memoria innecesarias. Sin embargo, cuando la cola está vacía, y un hilo inserta un "ns_client" en ella mientras otro hilo intenta eliminarlo, una condición de carrera podría provocar la pérdida del "ns_client", ya que la cola puede parecer vacía. En este caso, se asigna en memoria un nuevo "ns_client". Es raro que se produzca esta condición con consultas UDP, pero puede ser bastante más frecuente con altas cargas de consultas TCP; con el tiempo, el número de asignaciones erróneas de "ns_client" puede ser suficientemente grande para afectar al rendimiento del sistema. Incluso, puede provocar un cierre automático del proceso named en sistemas con mecanismo "OOM (out-of-memory) Killer".

Se recomienda actualizar a las versiones más recientes de BIND 9 versión 9.9.1-P2, versión 9.8.3-P2, versión 9.7.6-P2 o versión 9.6-ESV-R7-P2 disponibles desde:

Más información:

CVE-2012-3817: Heavy DNSSEC Validation Load Can Cause a "Bad Cache" Assertion Failure in BIND9

CVE-2012-3868: High TCP Query Load Can Trigger a Memory Leak in BIND 9



Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada