sábado, 22 de octubre de 2016

Denegación de servicio en versiones antiguas de BIND 9

ISC ha publicado un aviso en el que informa de una vulnerabilidad de denegación de servicio en versiones del servidor DNS BIND 9 anteriores a mayo de 2013. 

El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

El problema, con CVE-2016-2848, reside en que un paquete con la sección de opciones específicamente construida puede provocar un fallo de aserción, con la consiguiente caída del servicio. El problema fue corregido en las versiones de BIND distribuidas por ISC en mayo de 2013. Sin embargo algunas versiones de BIND, distribuidas por otras partes, siguen siendo vulnerables al no contener el cambio #3548.

Afecta a versiones de BIND 9.1.0 a 9.8.4-P2 y 9.9.0 a 9.9.2-P2, que no incluyan el cambio #3548 (anteriores a mayo de 2013).

Se recomienda actualizar a las versiones más recientes BIND 9.9.9-P3, 9.10.4-P3 y 9.11.0, disponibles en:

Más información:

CVE-2016-2848: A packet with malformed options can trigger an assertion failure in ISC BIND versions released prior to May 2013 and in packages derived from releases prior to that date.


Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada