miércoles, 19 de abril de 2017

Nuevas versiones de BIND 9

ISC ha publicado nuevas versiones del servidor DNS BIND 9, destinadas a solucionar tres vulnerabilidades (una considerada de gravedad alta y dos de importancia media) que podrían causar condiciones de denegación de servicio a través de consultas especialmente manipuladas.

El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

La vulnerabilidad de gravedad alta, con CVE-2017-3137, consiste en que se asume de forma errónea el orden de los registros en una respuesta que contenga registros de recursos CNAME o DNAME. Esto podría dar lugar a un fallo de aserción con la finalización de named al procesar una respuesta en la que los registros se encuentran en un orden inusual. Afecta a versiones 9.9.9-P6, 9.9.10b1a 9.9.10rc1, 9.10.4-P6, 9.10.5b1a 9.10.5rc1, 9.11.0-P3, 9.11.1b1-a 9.11.1rc1 y 9.9.9-S8.

Por otra parte, con CVE-2017-3136, una consulta con un conjunto específico de caracteres podría provocar un fallo de aserción y la caída de un servidor que use DNS64. Afecta a versiones 9.8.0 a 9.8.8-P1, 9.9.0 a 9.9.9-P6, 9.9.10b1 a 9.9.10rc1, 9.10.0 a 9.10.4-P6, 9.10.5b1 a 9.10.5rc1, 9.11.0 a 9.11.0-P3, 9.11.1b1 a 9.11.1rc1 y 9.9.3-S1 a 9.9.9-S8.

Por último, con CVE-2017-3138, un cambio en una característica reciente introdujo una regresión que ha creado una situación bajo la que algunas versiones de named pueden provocar un fallo de aserción si reciben una cadena de comando nula. Afecta a versiones 9.9.9 a 9.9.9-P7, 9.9.10b1 a 9.9.10rc2, 9.10.4 a 9.10.4-P7, 9.10.5b1 a 9.10.5rc2, 9.11.0 a 9.11.0-P4, 9.11.1b1 a 9.11.1rc2, 9.9.9-S1 a 9.9.9-S9.

Se recomienda actualizar a las versiones más recientes BIND 9.9.9-P8, 9.10.4-P8, 9.11.0-P5 y 9.9.9-S10, disponibles en:

Más información:

CVE-2017-3137: A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME

CVE-2017-3136: An error handling synthesized records could cause an assertion failure when using DNS64 with "break-dnssec yes;"

CVE-2017-3138: named exits with a REQUIRE assertion failure if it receives a null command string on its control channel



Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario