Denegación de servicio a través de INSIST y registros SIG en BIND 9.x

SeguridadVirus

Se han descubierto dos vulnerabilidades que afectan a varias versiones de BIND 9 y que pueden provocar una denegación de servicio (que la aplicación deje de responder) por parte de atacantes remotos.

BIND (Berkeley Internet Name Domain, o como se conocía anteriormente, Berkeley Internet Name Daemon) es uno de los servidores DNS más usados en Internet, especialmente en sistemas basados en Unix. Se han encontrado dos errores que permiten a un atacante remoto provocar una denegación de servicio.

El primer fallo se reproduce a través de consultas de registros SIG, que pueden disparar un error si se devuelve más de un RRset. El peligro puede ser mitigado si se restringen las fuentes que pueden realizar recursión. También las consultas a registros SIG pueden disparar un error al intentar construir una respuesta a una consulta si el servidor está sirviendo una zona RFC 2535 DNSSEC y existen múltiples RRsets.

El segundo fallo deriva en un error INSIST si se envían las suficientes consultas recursivas como para que la respuesta llegue después de que todos los clientes esperando respuesta hayan abandonado la cola de recursión. El peligro de esta vulnerabilidad también puede ser mitigado si se restringen las fuentes que pueden realizar recursión.

Las versiones afectadas son:

* BIND 9.3.0, BIND 9.3.1, BIND 9.3.2, BIND 9.3.3b1 y BIND 9.3.3rc1

* BIND 9.4.0a1, 9.4.0a2, 9.4.0a3, 9.4.0a4, 9.4.0a5, 9.4.0a6 y 9.4.0b1

Aunque no se han podido confirmar los errores en la rama 9.2.x, se ha creado un parche igualmente.

Se recomienda actualizar a BIND 9.3.2-P1, BIND 9.2.7 o BIND 9.2.6-P1 desde http://www.isc.org/sw/bind/