viernes, 29 de marzo de 2013

Denegación de servicio en BIND 9


BIND ha corregido un fallo en la librería libdns podría provocar el agotamiento de la memoria, lo que causaría una condición de denegación de servicio en el dispositivo. El fallo es fácilmente explotable a través de una expresión regular especialmente diseñada. La vulnerabilidad solo afecta a sistemas *nix.

BIND, o Berkeley Internet Name Domain, es prácticamente el servidor DNS estándar en sistemas UNIX y se encuentra muy extendido en sistemas Linux. Está patrocinado por el "Internet Systems Consortium" y su versión actual es la BIND 9.9.2-P1.

El error radica en la librería libdns utilizada en los sistemas *nix y de la que hace uso el proceso named de BIND (el servidor de nombres en sí). Al hacer una petición con una expresión regular, el proceso hace un uso excesivo de la memoria, que acaba siendo agotada. Además de provocar la denegación de servicio en BIND, este fallo tendría efectos indeseados sobre los sistemas instalados en la misma máquina.

La vulnerabilidad, conidentificador CVE-2013-2266, afecta a todos los servidores de nombres (tanto autoritativos como recursivos) que ejecuten cualquier versión de BIND 9.7, 9.8 y 9.9 (incluida las versiones beta) en un entorno *nix (UNIX o Linux). Las versiones anteriores están afectadas por este fallo, así como BIND 9.10.

El parche está disponible para los sistemas 9.8 y 9.9. La rama 9.7 ha terminado su ciclo de vida y se recomienda actualizar a una versión más reciente. Sin embargo, para aquellos usuarios que no puedan hacerlo, existe la posibilidad de compilar libdns sin soporte para expresiones regulares.

Tal y como apuntaba un usuario de la lista Full Disclosure, a pesar de que las vulnerabilidades de denegación de servicio son relativamente frecuentes en este sistema, esta destaca por su facilidad de explotación, reconocida en un mensaje posterior por Jeff Wright de ISC, lo que da una idea de su gravedad.

No solo BIND es vulnerable al fallo. Cualquier otro programa que haga uso de las librería libdns debe ser actualizado o configurado para desactivar el soporte a expresiones regulares mientras no haya una solución del fabricante.

Más información:

CVE-2013-2266: A Maliciously Crafted Regular Expression Can Cause Memory Exhaustion in named
https://kb.isc.org/article/AA-00871

On the impact of CVE-2013-2266 (BIND9)
http://seclists.org/fulldisclosure/2013/Mar/246






Francisco López
flopez@hispasec.com
Etiquetas: , ,

2 comentarios:

  1. Santiago José López Borrazás1 de abril de 2013, 16:10

    Todas las distribuciones de Linux han empezado a dar las versiones con el 'patch' corregido. Al menos, hasta ahora, en Debian ya lo han dispuesto.

    ResponderEliminar
  2. Anónimo2 de abril de 2013, 14:36

    Saludos.

    Sí, ya lo actualicé.

    Thanks.

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017