Una vulnerabilidad catalogada cómo crítica afecta el popular servidor de nombres (DNS) llamado BIND en sus versiones 9.1.1 hasta 9.9.7. La vulnerabilidad es explotable remotamente y causa una denegación de servicio (DoS) hasta provocar su cierre. Se le ha asignado el CVE-2015-5477








De momento no se conocen más detalles técnicos de la vulnerabilidad debido a su gran impacto ya que se puede calcular fácilmente que hay millones de servidores afectados en todo el mundo.

BIND9 es el software más antiguo y de mayor despliegue utilizado por los servidores de nombres de dominio para traducir los nombres de dominio en direcciones IP.

Descripción "Querys TKEY"

Un error en el manejo de consultas TKEY puede ser explotado por un atacante para su uso como un vector de denegación de servicio, con un paquete construido puede utilizar el defecto de desencadenar un error de aserción de REQUIERE, causando que BIND deje de ejecutarse

Impacto

Ambos servidores recursivos y autoritativos son vulnerables a este defecto. Además, la exposición no se evita por cualquiera de las ACL o las opciones de configuración que limitan o servicio que niegan porque el código explotable ocurre temprano en el manejo de paquetes, antes de cheques hacer cumplir esos límites. Todas las versiones de BIND 9 de BIND 9.1.0 (incluido) a través de BIND 9.9.7-P1 y BIND 9.10.2-P2 son vulnerables.

Los operadores deben tomar medidas para actualizar a una versión parcheada tan pronto como sea posible.

Solución

Solución: Actualizar a la versión parcheada más estrechamente relacionados con su versión actual de BIND. Estos se pueden descargar desde

•  http://www.isc.org/downloads

• BIND 9 versión 9.9.7-P2
• BIND 9 versión 9.10.2-P3

El investigador de seguridad Robert Graham ha confirmado al vulnerabilidad y ha afirmado que:

"Podría usar mi herramienta 'masscan' en Internet con esos paquetes y provocar un cierre de los servidores DNS BIND9 públicos en una hora"


La verdad es que la lista de vulnerabilidades de BIND9 es larga y da que pensar:

Listing of Vulnerabilities

#	CVE Number	Short Description
64	2015-5477	An error in handling TKEY queries can cause named to exit with a REQUIRE assertion failure
63	2015-4620	Specially Constructed Zone Data Can Cause a Resolver to Crash when Validating
62	2015-1349	A Problem with Trust Anchor Management Can Cause named to Crash
61	2014-8680	Defects in GeoIP features can cause BIND to crash
60	2014-8500	A Defect in Delegation Handling Can Be Exploited to Crash BIND
59	2014-3859	BIND named can crash due to a defect in EDNS printing processing
58	2014-3214	A Defect in Prefetch Can Cause Recursive Servers to Crash
57	2014-0591	A Crafted Query Against an NSEC3-signed Zone Can Crash BIND
56	2013-6230	A Winsock API Bug can cause a side-effect affecting BIND ACLs
55	2013-4854	A specially crafted query can cause BIND to terminate abnormally
54	2013-3919	A recursive resolver can be crashed by a query for a malformed zone
53	2013-2266	A Maliciously Crafted Regular Expression Can Cause Memory Exhaustion in named
52	2012-5689	BIND 9 with DNS64 enabled can unexpectedly terminate when resolving domains in RPZ
51	2012-5688	BIND 9 servers using DNS64 can be crashed by a crafted query
50	2012-5166	Specially crafted DNS data can cause a lockup in named
49	2012-4244	A specially crafted Resource Record could cause named to terminate
48	2012-3868	High TCP query load can trigger a memory leak
47	2012-3817	Heavy DNSSEC validation load can cause a "bad cache" assertion failure
46	2012-1667	Handling of zero length rdata can cause named to terminate unexpectedly
45	2011-4313	BIND 9 Resolver crashes after logging an error in query.c
44	2011-2465	Remote crash with certain RPZ configurations
43	2011-2464	remote packet denial of service against authoritative and recursive servers
42	2011-1910	Large RRSIG RRsets and negative caching can crash named
41	2011-1907	RRSIG queries can trigger server crash when using Response Policy Zones
40	2011-0414	Server lockup upon IXFR or DDNS update combined with high query rate
39	2010-3613	cache incorrectly allows an ncache entry and an RRSIG for the same type
38	2010-3615	allow-query processed incorrectly
37	2010-3614	Key algorithm rollover bug in BIND 9
36	2010-3762	failure to handle bad signatures if multiple trust anchors configured
35	2010-0218	Unexpected ACL Behavior in BIND 9.7.2
34	2010-0213	RRSIG query handling bug in BIND 9.7.1
33	2010-0097	DNSSEC validation code could cause bogus NXDOMAIN responses
32	2009-4022	Cache Update From Additional Section
31	2009-0696	Dynamic Update DoS attack
30	2008-5077	DNSSEC issue with DSA and NSEC3DSA algorithms
29	2008-1447	DNS cache poisoning issue
28	2008-0122	inet_network() off-by-one buffer overflow
27	2007-2930	cryptographically weak query ids (BIND 8)
26	2007-2926	cryptographically weak query ids
25	2007-2925	allow-query-cache/allow-recursion default acls not set.
24	2007-2241	Sequence of queries can cause a recursive nameserver to exit.
23	2007-0494	Denial of service via ANY query response containing multiple RRsets.
22	2007-0493	Denial of service via unspecified vectors that cause  "dereference a freed fetch       context."
21	2006-4096	Denial of service via a flood of recursive queries causing INSIST failure.
19	2005-0034	The DNSSEC validator can cause the server to exit
13	2002-0400	DoS internal consistency check (DoS_findtype)

Fuentes:
https://kb.isc.org/article/AA-01272/0/CVE-2015-5477%3A-An-error-in-handling-TKEY-queries-can-cause-named-to-exit-with-a-REQUIRE-assertion-failure.html
http://darkmatters.norsecorp.com/2015/07/30/bind-vulnerabilities-unnecessarily-put-entire-internet-at-dos-risk/