Una nueva seria vulnerabilidad de denegación de servicio (DoS) fue reparada esta semana por el Internet Systems Consortium (ISC) en el software BIND DNS. El fallo, calificado como "alta severidad" (CVSS puntuación de 7,5), es remotamente explotable en el caso de los servidores utiliza ciertas configuraciones.






ISC ha publicado nuevas versiones del servidor DNS BIND 9, destinadas a solucionar una vulnerabilidad considerada de gravedad alta que podrían causar condiciones de denegación de servicio a través de consultas especialmente manipuladas.


El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

La vulnerabilidad en el software BIND DNS fue reportada por Ramesh Damodaran y Aliaksandr Shubnik de Infoblox.

• https://kb.isc.org/article/AA-01453/0

La falla DoS afecta a BIND 9.8.8, todas las versiones 9.9 desde 9.9.3, todas las versiones 9.10 y toda la versión 9.11.

La falla ha sido parcheada con el lanzamiento de las versiones 9.9.9-P6, 9.10.4-P6 y 9.11.0-P3.

BIND DNS

El fallo, calificado como "alta severidad" (CVSS puntuación de 7,5), es remotamente explotable en el caso de los servidores utiliza ciertas configuraciones.

"Algunas configuraciones que usan DNS64 y RPZ pueden conducir a un fallo de aserción INSIST o leer un puntero NULL; En cualquier caso nombrado terminará. "Lee el consejo publicado por el ISC

"En algunas condiciones cuando se usan DNS64 y RPZ [Response Policy Zones] para volver a escribir las respuestas de consulta, el procesamiento de consultas puede reanudarse en un estado inconsistente que conduce a un fallo de aserción INSIST o un intento de leer a través de un puntero NULL"

Sólo los servidores que utilizan DNS64 y RPZ al mismo tiempo son potencialmente vulnerables.

"Cuando se produce esta condición, resultará en un fallo de aserción INSIST (y posterior abortar) o un intento de leer a través de un puntero NULL. En la mayoría de las plataformas, un puntero NULL lee conduce a un error de segmentación (SEGFAULT), lo que provoca que el proceso se termine ", añadió ISC.

El asesoramiento sugiere actualizar cada instalación vulnerable, también incluye posibles soluciones, como eliminar DNS64 o RPZ de la configuración o restringir el contenido de la zona de política.

En enero de 2017, el Consorcio de Sistemas de Internet (ISC) ha publicado actualizaciones para resolver cuatro fallas de alta severidad en el software DNS BIND. La falla podría ser explotada por un atacante remoto para causar una condición de DoS.

Un atacante puede explotar las vulnerabilidades para que el proceso del servidor de nombres BIND encuentre un fallo de aserción y deje de ejecutarse.

Fuentes:
http://unaaldia.hispasec.com/2017/02/nuevas-versiones-de-bind-9.html
http://securityaffairs.co/wordpress/56212/hacking/bind-dns-software-flaw.html