Inicio / Alerta Temprana / Avisos Seguridad / Error en la gestión de respuestas con DNAME en Bind

Error en la gestión de respuestas con DNAME en Bind

Fecha de publicación: 
02/11/2016
Importancia: 
4 - Alta
Recursos afectados: 

Las siguientes versiones de BIND están afectadas por esta vulnerabilidad. 

  • 9.0.x hasta 9.8.x 
  • 9.9.0 hasta 9.9.9-P3
  • 9.9.3-S1 hasta 9.9.9-S5 
  • 9.10.0 hasta 9.10.4-P3 
  • 9.11.0
Descripción: 

Un error en el manejo de las respuestas que contienen un DNAME puede provocar que el DNS resolver deje de funcionar tras encontrar un fallo en db.c o resolver.c

Solución: 

Actualizar la versión de BIND a las siguientes:

  • BIND 9 versión 9.9.9-P4
  • BIND 9 versión 9.10.4-P4
  • BIND 9 versión 9.11.0-P1
  • BIND 9 versión 9.9.9-S6

Detalle: 

Durante el procesado de una respuesta recursiva que contenga un registro DNAME en la sección de respuesta, BIND puede detener la ejecución tras encontrar un error en el código de resolver.c (lanzando un mensaje de error "INSIST((valoptions & 0x0002U) != 0) failed") o en db.c (con el siguiente mensaje de error: "REQUIRE(targetp != ((void *)0) && *targetp == ((void *)0)) failed"). La explotación de esta vulnerabilidad, para la que se ha reservado el identificador CVE-2016-8864 y que puede ser explotada de forma remota, provoca una denegación de servicio.

Los servidores DNS esclavos están más expuestos a esta vulnerabilidad, mientras que para los servidores primarios el riesgo es mínimo.