Múltiples vulnerabilidades en Bind

Fecha de publicación:

12/01/2017

Importancia:

4 - Alta

Recursos afectados:

Las siguientes versiones de Bind 9 se ven afectadas por alguna de las vulnerabilidades publicadas hoy:

desde la 9.4.0 a la 9.6-ESV-R11-W1
desde la 9.8.5 a la 9.8.8
desde la 9.9.3 a la 9.9.9-P4
desde la 9.9.9-S1a la 9.9.9-S6
desde la 9.10.0 a la 9.10.4-P4
desde la 9.11.0 a la 9.11.0-P1

Descripción:

Se han publicado varias vulnerabilidades explotables remotamente y de criticidad alta que afectan a la versión 9 de Bind cuya explotación puede provocar denegación de servicio.

Solución:

Actualizar a la versión parcheada más cercana de la versión actual de BIND

BIND 9 versión 9.9.9-P5
BIND 9 versión 9.10.4-P5
BIND 9 versión 9.11.0-P2
BIND 9 versión 9.9.9-S7

Todas las versiones de BIND se pueden descargar del portal de descargas de isc.

Detalle:

El detalle de las vulnerabilidades publicadas, que pueden ser explotadas de forma remota, es el siguiente:

Respuesta malformada a una petición ANY: Una respuesta malformada a una petición recibida por un servidor recursivo puede provocar un error de aserción en named y que se detenga su ejecución. Se ha reservado el CVE-2016-9131 para esta vulnerabilidad.
Error en el manejo de una respuesta que contenga información DNSSEC inconsistente: Dependiendo del tipo de petición y las opciones EDNS, se espera que los servidores autoritativos incluyan RRSIG y otros RRsets en sus respuestas. Durante el procesamiento de algunas de estas respuestas se puede provocar un error de aserción en named y se detenga su ejecución. Se ha reservado el CVE-2016-9147 para esta vulnerabilidad.
Error de aserción en la respuesta a un registro DS: Durante el procesamiento de una respuesta conteniendo un registro de recurso DS se puede provocar un error de aserción en named y que se detenga su ejecución. Se ha reservado el CVE-2016-9444 para esta vulnerabilidad.
Error en el manejo de peticiones con nxdomain-redirect:Un error en el manejo de algunas peticiones cuando se utiliza la característica nxdomain-feature puede provocar un error de aserción en db.c que detenga la ejecución de named. Se ha reservado el CVE-2016-9778 para esta vulnerabilidad.

Referencias:

CVE-2016-9131: A malformed response to an ANY query can cause an assertion failure during recursion

CVE-2016-9147: An error handling a query response containing inconsistent DNSSEC information could cause an assertion failure

CVE-2016-9444: An unusually-formed DS record response could cause an assertion failure

CVE-2016-9778: An error handling certain queries using the nxdomain-redirect feature could cause a REQUIRE assertion failure in db.c

Etiquetas:

DNS

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en Bind

Vulnerabilidad en Log Analysis de IBM

Desbordamientos de lectura y escritura en SolarWinds Dameware

Ejecución de comandos como root en IBM Spectrum Scale

Vulnerabilidad en dispositivos DrayTek

Omisión de restricción de acceso remoto en productos HPE