ISC
ha confirmado dos vulnerabilidades
que afectan a BIND 9 y que
podría permitir a un atacante remoto causar condiciones de denegación de
servicio.
BIND (Berkeley Internet Name
Domain) es el software para servidores de gestión del protocolo DNS más
utilizado en Internet gracias a su alta compatibilidad con los estándares de
este protocolo.
El primero de los problemas, con CVE-2012-3817,
solo afecta a sistemas configurados con validación DNSSEC. BIND 9 almacena una caché
con los nombres de las consultas que sabe que están fallando debido a una mala
configuración de los servidores de nombres o a una rotura de la cadena de
confianza. Bajo grandes cargas de
consultas cuando la validación DNSSEC está activa, es posible provocar una
condición en que se usen los datos de esta caché de consultas fallidas antes de
que esté totalmente inicializada, provocando un error de aserción. Afecta a las
versiones 9.6-ESV-R1 hasta 9.6-ESV-R7-P1; 9.7.1 hasta 9.7.6-P1; 9.8.0 hasta 9.8.3-P1;
9.9.0 hasta 9.9.1-P1. Las versiones de BIND 9.4 y 9.5 también se ven afectadas,
pero estas ramas están fura del soporte y no se van a publicar actualizaciones
de de seguridad.
Por otra parte, el problema con CVE-2012-3868
afecta a las versiones 9.9.0 hasta 9.9.1-P1. BIND 9 realiza el seguimiento de
las consultas entrantes a través de una estructura llamada "ns_client". Cuando se ha respondido
una consulta y la estructura "ns_client"
ya no es necesaria, se almacena en una cola de "ns_client" inactivos. Cuando se necesita un nuevo "ns_client" para una nueva consulta,
se comprueba la cola para ver si hay disponible algún "ns_client" inactivo antes de asignar
uno nuevo. Esto acelera el sistema, evitando asignaciones y desasignaciones de
memoria innecesarias. Sin embargo, cuando la cola está vacía, y un hilo inserta
un "ns_client" en ella
mientras otro hilo intenta eliminarlo, una condición de carrera podría provocar
la pérdida del "ns_client",
ya que la cola puede parecer vacía. En este caso, se asigna en memoria un nuevo
"ns_client". Es raro que se
produzca esta condición con consultas UDP, pero puede ser bastante más frecuente
con altas cargas de consultas TCP; con
el tiempo, el número de asignaciones erróneas de "ns_client" puede ser suficientemente grande para afectar al rendimiento del sistema. Incluso,
puede provocar un cierre automático del proceso named en sistemas con mecanismo
"OOM (out-of-memory) Killer".
Se recomienda actualizar a las
versiones más recientes de BIND 9 versión 9.9.1-P2, versión 9.8.3-P2, versión
9.7.6-P2 o versión 9.6-ESV-R7-P2 disponibles desde:
Más información:
CVE-2012-3817: Heavy DNSSEC Validation Load Can
Cause a "Bad Cache" Assertion Failure in BIND9
CVE-2012-3868: High TCP Query Load Can Trigger
a Memory Leak in BIND 9
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario