jueves, 30 de julio de 2015

Vulnerabilidad crítica en Bind explotable remotamente

Una vulnerabilidad catalogada cómo crítica afecta el popular servidor de nombres (DNS) llamado BIND en sus versiones 9.1.1 hasta 9.9.7. La vulnerabilidad es explotable remotamente y causa una denegación de servicio (DoS) hasta provocar su cierre. Se le ha asignado el CVE-2015-5477







CVE: 
CVE-2015-5477
Fecha publicación: 
28 July 2015
Programa: 
BIND
Versiones afectadas: 
9.1.0 -> 9.8.x, 9.9.0->9.9.7-P1, 9.10.0->9.10.2-P2
Severidad: 
Crítica
Explotable: 
Remota

De momento no se conocen más detalles técnicos de la vulnerabilidad debido a su gran impacto ya que se puede calcular fácilmente que hay millones de servidores afectados en todo el mundo.

BIND9 es el software más antiguo y de mayor despliegue utilizado por los servidores de nombres de dominio para traducir los nombres de dominio en direcciones IP.

CVSS Base Score: 7.8
Impact Subscore: 6.9
Exploitability Subscore: 10

Descripción "Querys TKEY"


Un error en el manejo de consultas TKEY puede ser explotado por un atacante para su uso como un vector de denegación de servicio, con un paquete construido puede utilizar el defecto de desencadenar un error de aserción de REQUIERE, causando que BIND deje de ejecutarse

Impacto

Ambos servidores recursivos y autoritativos son vulnerables a este defecto. Además, la exposición no se evita por cualquiera de las ACL o las opciones de configuración que limitan o servicio que niegan porque el código explotable ocurre temprano en el manejo de paquetes, antes de cheques hacer cumplir esos límites. Todas las versiones de BIND 9 de BIND 9.1.0 (incluido) a través de BIND 9.9.7-P1 y BIND 9.10.2-P2 son vulnerables.

Los operadores deben tomar medidas para actualizar a una versión parcheada tan pronto como sea posible.


Solución


Solución: Actualizar a la versión parcheada más estrechamente relacionados con su versión actual de BIND. Estos se pueden descargar desde






  • BIND 9 versión 9.9.7-P2
  • BIND 9 versión 9.10.2-P3


El investigador de seguridad Robert Graham ha confirmado al vulnerabilidad y ha afirmado que:

"Podría usar mi herramienta 'masscan' en Internet con esos paquetes y provocar un cierre de los servidores DNS BIND9 públicos en una hora"


La verdad es que la lista de vulnerabilidades de BIND9 es larga y da que pensar:

Listing of Vulnerabilities

# CVE Number Short Description
64 2015-5477 An error in handling TKEY queries can cause named to exit with a REQUIRE assertion failure
63 2015-4620 Specially Constructed Zone Data Can Cause a Resolver to Crash when Validating
62 2015-1349 A Problem with Trust Anchor Management Can Cause named to Crash
61 2014-8680 Defects in GeoIP features can cause BIND to crash
60 2014-8500 A Defect in Delegation Handling Can Be Exploited to Crash BIND
59 2014-3859 BIND named can crash due to a defect in EDNS printing processing
58 2014-3214 A Defect in Prefetch Can Cause Recursive Servers to Crash
57 2014-0591 A Crafted Query Against an NSEC3-signed Zone Can Crash BIND
56 2013-6230 A Winsock API Bug can cause a side-effect affecting BIND ACLs
55 2013-4854 A specially crafted query can cause BIND to terminate abnormally
54 2013-3919 A recursive resolver can be crashed by a query for a malformed zone
53 2013-2266 A Maliciously Crafted Regular Expression Can Cause Memory Exhaustion in named
52 2012-5689 BIND 9 with DNS64 enabled can unexpectedly terminate when resolving domains in RPZ
51 2012-5688 BIND 9 servers using DNS64 can be crashed by a crafted query
50 2012-5166 Specially crafted DNS data can cause a lockup in named
49 2012-4244 A specially crafted Resource Record could cause named to terminate
48 2012-3868 High TCP query load can trigger a memory leak
47 2012-3817 Heavy DNSSEC validation load can cause a "bad cache" assertion failure
46 2012-1667
45 2011-4313 BIND 9 Resolver crashes after logging an error in query.c
44 2011-2465 Remote crash with certain RPZ configurations
43 2011-2464 remote packet denial of service against authoritative and recursive servers
42 2011-1910 Large RRSIG RRsets and negative caching can crash named
41 2011-1907 RRSIG queries can trigger server crash when using Response Policy Zones
40 2011-0414 Server lockup upon IXFR or DDNS update combined with high query rate
39 2010-3613 cache incorrectly allows an ncache entry and an RRSIG for the same type
38 2010-3615 allow-query processed incorrectly
37 2010-3614 Key algorithm rollover bug in BIND 9
36 2010-3762 failure to handle bad signatures if multiple trust anchors configured
35 2010-0218 Unexpected ACL Behavior in BIND 9.7.2
34 2010-0213 RRSIG query handling bug in BIND 9.7.1
33 2010-0097 DNSSEC validation code could cause bogus NXDOMAIN responses
32 2009-4022 Cache Update From Additional Section
31 2009-0696 Dynamic Update DoS attack
30 2008-5077 DNSSEC issue with DSA and NSEC3DSA algorithms
29 2008-1447 DNS cache poisoning issue
28 2008-0122 inet_network() off-by-one buffer overflow
27 2007-2930 cryptographically weak query ids (BIND 8)
26 2007-2926 cryptographically weak query ids
25 2007-2925 allow-query-cache/allow-recursion default acls not set.
24 2007-2241 Sequence of queries can cause a recursive nameserver to exit.
23 2007-0494 Denial of service via ANY query response containing multiple RRsets.
22 2007-0493 Denial of service via unspecified vectors that cause  "dereference a freed fetch       context."
21 2006-4096 Denial of service via a flood of recursive queries causing INSIST failure.
19 2005-0034 The DNSSEC validator can cause the server to exit                 
13 2002-0400 DoS internal consistency check (DoS_findtype)



Fuentes:
https://kb.isc.org/article/AA-01272/0/CVE-2015-5477%3A-An-error-in-handling-TKEY-queries-can-cause-named-to-exit-with-a-REQUIRE-assertion-failure.html
http://darkmatters.norsecorp.com/2015/07/30/bind-vulnerabilities-unnecessarily-put-entire-internet-at-dos-risk/

No hay comentarios:

Publicar un comentario