Actualizaciones de seguridad de ISC BIND

Fecha de publicación:

15/06/2017

Importancia:

5 - Crítica

Recursos afectados:

Las versiones de ISC BIND afectadas son:

desde 9.2.6-P2 hasta 9.2.9
desde 9.3.2-P1 hasta 9.3.6
desde 9.4.0 hasta 9.8.8
desde 9.9.0 hasta 9.9.10
desde 9.10.0hasta 9.10.5
desde 9.11.0 hasta 9.11.1
desde 9.9.3-S1 hasta 9.9.10-S1
9.10.5-S1

Descripción:

Se han publicado actualizaciones en varias versiones de ISC BIND que corrigen dos vulnerabilidades de seguridad, una de ellas de severidad crítica.

Solución:

El Internet Systems Consortium (ISC) recomienda actualizar a la versión parcheada más próxima a la versión vulnerable instalada, escogiendo entre: 9.11.1-P1, 9.10.5-P1 o 9.9.10-P1. Además, el ISC recomienda deshabilitar LMDB (liblmdb) hasta que se publique la versión 9.11.2. próximamente.

Detalle:

Un atacante local que explotara la vulnerabilidad de criticidad alta, podría llegar a tomar el control del sistema afectado mediante elevación de privilegios. Se ha asignado el identificador CVE-2017-3141 para esta vulnerabilidad.
Un atacante remoto podría explotar la otra vulnerabilidad, en este caso de severidad media, pudiendo desencadenar una denegación de servicio en el dispositivo afectado. Se ha asignado el identificador CVE-2017-3140 para esta vulnerabilidad.

Referencias:

ISC Releases Security Updates for BIND

CVE-2017-3140: An error processing RPZ rules can cause named to loop endlessly after handling a query

CVE-2017-3141: Windows service and uninstall paths are not quoted when BIND is installed

Etiquetas:

Actualización

DNS

Vulnerabilidad

Accesos corporativos

Actualizaciones de seguridad de ISC BIND

Múltiples vulnerabilidades en productos SonicWall

Ejecución remota de código en Desktop Central de ManageEngine

Ejecución remota de código en Zoho ManageEngine ServiceDesk Plus

Vulnerabilidad de desbordamiento de búfer en múltiples productos HP

Múltiples vulnerabilidades en Avalanche de Ivanti