ISC
ha publicado un aviso en el
que informa de una vulnerabilidad de denegación
de servicio en versiones del servidor DNS
BIND 9 anteriores a mayo de 2013.
El servidor de nombres BIND es
uno de los más usados en Internet. Creado en 1988, en la universidad de
Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium).
BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como
Microsoft Windows.
El problema, con CVE-2016-2848,
reside en que un paquete con la sección de opciones específicamente construida
puede provocar un fallo de aserción, con la consiguiente caída del servicio. El
problema fue corregido en las versiones de BIND distribuidas por ISC en mayo de
2013. Sin embargo algunas versiones de BIND, distribuidas por otras partes, siguen
siendo vulnerables al no contener el cambio #3548.
Afecta a versiones de BIND 9.1.0 a
9.8.4-P2 y 9.9.0 a 9.9.2-P2, que no incluyan el cambio #3548 (anteriores a mayo de 2013).
Se recomienda actualizar a las
versiones más recientes BIND 9.9.9-P3, 9.10.4-P3 y 9.11.0, disponibles en:
Más información:
CVE-2016-2848:
A packet with malformed options can trigger an assertion failure in ISC BIND
versions released prior to May 2013 and in packages derived from releases prior
to that date.
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario