sábado, 21 de febrero de 2015

Denegación de servicio en BIND 9

Se ha anunciado un problema en BIND 9 por el que bajo un raro conjunto de condiciones se pueden producir condiciones de denegación de servicio

El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

El problema, con CVE-2015-1349, afecta a servidores BIND configurados para realizar validaciones DNSSEC y que usen managed-keys (que ocurre cuando se usa "dnssec-validation auto;" o "dnssec-lookaside auto;").
El proceso named terminará y denegará el servicio a los clientes si se reproducen las siguientes condiciones al mismo tiempo en una cadena de confianza:
* Una clave en la que se confiaba previamente está actualmente marcada como revocada.
* No hay otras claves de confianza disponibles
* existe otra llave en espera, pero todavía no es de confianza.

ISC ha demostrado en una prueba de concepto que un atacante puede reproducir un escenario en el que bajo condiciones limitadas y específicas podría provocar una denegación de servicio. Se considera que la complejidad del ataque es muy alta salvo que el atacante tenga una relación específica en la red del servidor BIND atacado.

Se ven afectadas las versiones BIND 9.7.0 a BIND 9.10.1-P1, así como las versiones de desarrollo b1 y rc1 (9.9.7b1 y rc1, 9.10.2b1 y rc1).
Se recomienda actualizar a la versión más reciente en
BIND 9.9.6-P2 y BIND 9.10.1-P2
También se ha corregido en las versiones en desarrollo BIND 9.9.7rc2 y BIND 9.10.2rc2.

Más información:

CVE-2015-1349: A Problem with Trust Anchor Management Can Cause named to Crash



Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada