Denegación de servicio en BIND 9

BIND, o Berkeley Internet Name Domain, es prácticamente el servidor DNS estándar en sistemas UNIX y se encuentra muy extendido en sistemas Linux. Está patrocinado por el “Internet Systems Consortium” y su versión actual es la BIND9.9.2-P1.

El error radica en la librería libdns utilizada en los sistemas *nix y de la que hace uso el proceso named de BIND (el servidor de nombres en sí). Al hacer una petición con una expresión regular, el proceso hace un uso excesivo de la memoria, que acaba siendo agotada. Además de provocar la denegación de servicio en BIND, este fallo tendría efectos indeseados sobre los sistemas instalados en la misma máquina.

La vulnerabilidad, conidentificador CVE-2013-2266, afecta a todos los servidores de nombres (tanto autoritativos como recursivos) que ejecuten cualquier versión de BIND 9.7, 9.8 y 9.9 (incluida las versiones beta) en un entorno *nix (UNIX o Linux). Las versiones anteriores están afectadas por este fallo, así como BIND 9.10.

El parche está disponible para los sistemas 9.8 y 9.9. La rama 9.7 ha terminado su ciclo de vida y se recomienda actualizar a una versión más reciente. Sin embargo, para aquellos usuarios que no puedan hacerlo, existe la posibilidad de compilar libdns sin soporte para expresiones regulares.

Tal y como apuntaba un usuario de la lista Full Disclosure, a pesar de que las vulnerabilidades de denegación de servicio son relativamente frecuentes en este sistema, esta destaca por su facilidad de explotación, reconocida en un mensaje posterior por Jeff Wright de ISC, lo que da una idea de su gravedad.

No solo BIND es vulnerable al fallo. Cualquier otro programa que haga uso de las librería libdns debe ser actualizado o configurado para desactivar el soporte a expresiones regulares mientras no haya una solución del fabricante.

CVE-2013-2266: A Maliciously Crafted Regular Expression Can Cause Memory Exhaustion in named

Francisco López