ISC
ha publicado nuevas versiones del servidor DNS BIND 9, destinadas a solucionar cuatro
vulnerabilidades consideradas de gravedad alta que podrían causar condiciones
de denegación de servicio a través de consultas especialmente manipuladas.
El servidor de nombres BIND es
uno de los más usados en Internet. Creado en 1988, en la universidad de
Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND
se encuentra disponible para una amplia gama de sistemas tanto Unix como
Microsoft Windows.
La primera vulnerabilidad, con CVE-2016-9131
Con CVE-2016-9147,
un error en el tratamiento de una respuesta que contenga DNSSEC inconsistente
puede provocar un fallo de aserción. Afecta a versiones 9.9.9-P4, 9.9.9-S6,
9.10.4-P4 y 9.11.0-P1. Con CVE-2016-9444,
una respuesta construida de forma inusual que contenga un registro de recurso
DS puede provocar un fallo de aserción con la consiguiente caída del servicio. Afecta
a versiones 9.6-ESV-R9 a
9.6-ESV-R11-W1, 9.8.5 a 9.8.8, 9.9.3 a 9.9.9-P4, 9.9.9-S1 a 9.9.9-S6, 9.10.0 a
9.10.4-P4, 9.11.0 a 9.11.0-P1.
Por último, con CVE-2016-9778,
un error en el tratamiento de determinadas consultas usando la característica nxdomain-redirect
puede causar un fallo de aserción REQUIRE en db.c. Afecta a versiones 9.9.8-S1 a
9.9.8-S3, 9.9.9-S1 a 9.9.9-S6 y 9.11.0 a 9.11.0-P1.
Se recomienda actualizar a las
versiones más recientes BIND 9.9.9-P5, 9.10.4-P5, 9.11.0-P2 y 9.9.9-S7,
disponibles en:
Más información:
CVE-2016-9778: An error handling certain
queries using the nxdomain-redirect feature could cause a REQUIRE assertion
failure in db.c
CVE-2016-9444:
An unusually-formed DS record response could cause an assertion failure
CVE-2016-9147:
An error handling a query response containing inconsistent DNSSEC information
could cause an assertion failure
CVE-2016-9131:
A malformed response to an ANY query can cause an assertion failure during
recursion
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario