La rama 8.x de BIND, uno de los servidores de nombres más populares,
deja de ser mantenida por el ISC (Internet Systems Consortium), de
forma que no se publicarán más parches de seguridad para esta versión.
Sus esfuerzos de desarrollo, a partir de ahora, se centrarán en la
rama 9.x.
BIND (también conocido como ‘named’) es el software servidor de
nombres de dominio (DNS) más popular en las diferentes versiones y
distribuciones de Unix. Se trata de un software desarrollado por el
ISC (Internet Software Consortium), un consorcio donde se encuentran
representadas algunas de las empresas más importantes del sector
informático y que tiene como objetivo el desarrollo de las
implementaciones de referencia de los principales protocolos básicos
de Internet. Esto hace que muchos sistemas operativos incluyan, de
forma nativa, BIND.
El 27 de agosto el ISC ha anunciado el fin de ciclo de vida para BIND
8.x, después de más de diez años desde su aparición estable en mayo de
1997. Desde entonces, la rama 8.x ha sido castigada por una gran
cantidad de fallos y vulnerabilidades que han hecho que BIND se haya
convertido históricamente en la puerta de entrada para muchos
servidores en Internet y una forma remota de engañar y redirigir la
navegación de los usuarios. A mediados de 2000 apareció la rama 9.x de
BIND, con un número de vulnerabilidades menor hasta el momento y capaz
de aprovechar nuevas tecnologías de los sistemas.
Muchos fallos en BIND han sido considerados siempre como de los más
peligrosos, manteniéndose en algunas listas especializadas de
vulnerabilidades siempre entre los 20 más críticos. Hay que tener en
cuenta que BIND es ‘omnipresente’: ha sido utilizado por innumerables
servidores en Internet, con acceso abierto a todo el que desease
resolver direcciones y dominios, además de estar presente por defecto
en muchas distribuciones. Las posibilidades de aprovechar fallos se
multiplican, y un error grave en este software abre muchas puertas a
potenciales atacantes.
La propia ISC reconoce que la rama 8.x fue escrita en otros tiempos,
cuando la seguridad no era una prioridad en Internet. Esto ha
provocado que, a marchas forzadas, el producto haya tenido que ser
parcheado hasta la saciedad para poder ‘sobrevivir’ en la Internet de
hoy día, con miles de ataques automátizados, sistemáticos y
sofisticados a todo puerto abierto y accesible en la Red.
La rama 8.x se despide con la versión BIND 8.4.7 P1, que además
soluciona un problema de seguridad que puede permitir a atacantes
perpetrar ataques de envenenamiento de caché.
El fallo se debe a una debilidad del algoritmo del sistema a la hora
de calcular identificadores para las transacciones. Un atacante remoto
podría envenenar la caché de un servidor BIND 8 si estudia el tráfico
de las transacciones y predecir así el siguiente valor. El método de
ataque es distinto al reportado hace algunas semanas y que afectaba a
BIND 9.x
Se recomienda actualizar con el parche P1 disponible desde:
ftp://ftp.isc.org/isc/bind8/src/8.4.7-P1/
Ya no hay excusa para no saltar a la rama 9.x que además de una mejor
seguridad y proporcionar un rendimiento mayor, queda como única
alternativa segura para los administradores que confíen en BIND.
ssantos@hispasec.com
Más información:
BIND 8 End Of Life Announcement
http://www.isc.org/index.pl?/sw/bind/
Deja una respuesta