Se ha anunciado un problema en BIND 9 por el que
bajo un raro conjunto de condiciones se
pueden producir condiciones de denegación de servicio
El servidor de nombres BIND es
uno de los más usados en Internet. Creado en 1988, en la universidad de
Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium).
BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como
Microsoft Windows.
El problema, con CVE-2015-1349, afecta
a servidores BIND configurados para realizar validaciones DNSSEC y que usen managed-keys
(que ocurre cuando se usa "dnssec-validation auto;" o
"dnssec-lookaside auto;").
El proceso named terminará y denegará
el servicio a los clientes si se reproducen las siguientes condiciones al mismo
tiempo en una cadena de confianza:
* Una clave en la que se confiaba
previamente está actualmente marcada como revocada.
* No hay otras claves de
confianza disponibles
* existe otra llave en espera,
pero todavía no es de confianza.
ISC ha demostrado en una prueba
de concepto que un atacante puede reproducir un escenario en el que bajo
condiciones limitadas y específicas podría provocar una denegación de servicio.
Se considera que la complejidad del ataque es muy alta salvo que el atacante
tenga una relación específica en la red del servidor BIND atacado.
Se ven afectadas las versiones
BIND 9.7.0 a BIND 9.10.1-P1, así como las versiones de desarrollo b1 y rc1 (9.9.7b1
y rc1, 9.10.2b1 y rc1).
Se recomienda actualizar a la
versión más reciente en
BIND 9.9.6-P2 y BIND 9.10.1-P2
También se ha corregido en las
versiones en desarrollo BIND 9.9.7rc2 y BIND 9.10.2rc2.
Más información:
CVE-2015-1349: A Problem with Trust Anchor
Management Can Cause named to Crash
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario