Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Bind

Múltiples vulnerabilidades en Bind

Fecha de publicación: 
12/01/2017
Importancia: 
4 - Alta
Recursos afectados: 

Las siguientes versiones de Bind 9 se ven afectadas por alguna de las vulnerabilidades publicadas hoy:

  • desde la 9.4.0 a la 9.6-ESV-R11-W1 
  • desde la 9.8.5 a la 9.8.8 
  • desde la 9.9.3 a la 9.9.9-P4 
  • desde la 9.9.9-S1a la 9.9.9-S6
  • desde la 9.10.0 a la 9.10.4-P4
  • desde la 9.11.0 a la 9.11.0-P1
Descripción: 

Se han publicado varias vulnerabilidades explotables remotamente y de criticidad alta que afectan a la versión 9 de Bind cuya explotación puede provocar denegación de servicio.  

Solución: 

Actualizar a la versión parcheada más cercana de la versión actual de BIND

  • BIND 9 versión 9.9.9-P5
  • BIND 9 versión 9.10.4-P5
  • BIND 9 versión 9.11.0-P2
  • BIND 9 versión 9.9.9-S7

Todas las versiones de BIND se pueden descargar del portal de descargas de isc.

Detalle: 

El detalle de las vulnerabilidades publicadas, que pueden ser explotadas de forma remota, es el siguiente: 

  • Respuesta malformada a una petición ANY: Una respuesta malformada a una petición recibida por un servidor recursivo puede provocar un error de aserción en named y que se detenga su ejecución. Se ha reservado el CVE-2016-9131 para esta vulnerabilidad. 
  • Error en el manejo de una respuesta que contenga información DNSSEC inconsistente: Dependiendo del tipo de petición y las opciones EDNS, se espera que los servidores autoritativos incluyan RRSIG y otros RRsets en sus respuestas. Durante el procesamiento de algunas de estas respuestas se puede provocar un error de aserción en named y se detenga su ejecución. Se ha reservado el CVE-2016-9147 para esta vulnerabilidad. 
  • Error de aserción en la respuesta a un registro DS: Durante el procesamiento de una respuesta conteniendo un registro de recurso DS se puede provocar un error de aserción en named y que se detenga su ejecución. Se ha reservado el CVE-2016-9444 para esta vulnerabilidad.
  • Error en el manejo de peticiones con nxdomain-redirect:Un error en el manejo de algunas peticiones cuando se utiliza la característica nxdomain-feature  puede provocar un error de aserción en db.c que detenga la ejecución de named. Se ha reservado el CVE-2016-9778 para esta vulnerabilidad.
Referencias: 
CVE-2016-9131: A malformed response to an ANY query can cause an assertion failure during recursion
CVE-2016-9147: An error handling a query response containing inconsistent DNSSEC information could cause an assertion failure
CVE-2016-9444: An unusually-formed DS record response could cause an assertion failure
CVE-2016-9778: An error handling certain queries using the nxdomain-redirect feature could cause a REQUIRE assertion failure in db.c
Etiquetas: 
DNS
Vulnerabilidad