Múltiples vulnerabilidades en Bind

Fecha de publicación:

12/01/2017

Importancia:

4 - Alta

Recursos afectados:

Las siguientes versiones de Bind 9 se ven afectadas por alguna de las vulnerabilidades publicadas hoy:

desde la 9.4.0 a la 9.6-ESV-R11-W1
desde la 9.8.5 a la 9.8.8
desde la 9.9.3 a la 9.9.9-P4
desde la 9.9.9-S1a la 9.9.9-S6
desde la 9.10.0 a la 9.10.4-P4
desde la 9.11.0 a la 9.11.0-P1

Descripción:

Se han publicado varias vulnerabilidades explotables remotamente y de criticidad alta que afectan a la versión 9 de Bind cuya explotación puede provocar denegación de servicio.

Solución:

Actualizar a la versión parcheada más cercana de la versión actual de BIND

BIND 9 versión 9.9.9-P5
BIND 9 versión 9.10.4-P5
BIND 9 versión 9.11.0-P2
BIND 9 versión 9.9.9-S7

Todas las versiones de BIND se pueden descargar del portal de descargas de isc.

Detalle:

El detalle de las vulnerabilidades publicadas, que pueden ser explotadas de forma remota, es el siguiente:

Respuesta malformada a una petición ANY: Una respuesta malformada a una petición recibida por un servidor recursivo puede provocar un error de aserción en named y que se detenga su ejecución. Se ha reservado el CVE-2016-9131 para esta vulnerabilidad.
Error en el manejo de una respuesta que contenga información DNSSEC inconsistente: Dependiendo del tipo de petición y las opciones EDNS, se espera que los servidores autoritativos incluyan RRSIG y otros RRsets en sus respuestas. Durante el procesamiento de algunas de estas respuestas se puede provocar un error de aserción en named y se detenga su ejecución. Se ha reservado el CVE-2016-9147 para esta vulnerabilidad.
Error de aserción en la respuesta a un registro DS: Durante el procesamiento de una respuesta conteniendo un registro de recurso DS se puede provocar un error de aserción en named y que se detenga su ejecución. Se ha reservado el CVE-2016-9444 para esta vulnerabilidad.
Error en el manejo de peticiones con nxdomain-redirect:Un error en el manejo de algunas peticiones cuando se utiliza la característica nxdomain-feature puede provocar un error de aserción en db.c que detenga la ejecución de named. Se ha reservado el CVE-2016-9778 para esta vulnerabilidad.

Referencias:

CVE-2016-9131: A malformed response to an ANY query can cause an assertion failure during recursion

CVE-2016-9147: An error handling a query response containing inconsistent DNSSEC information could cause an assertion failure

CVE-2016-9444: An unusually-formed DS record response could cause an assertion failure

CVE-2016-9778: An error handling certain queries using the nxdomain-redirect feature could cause a REQUIRE assertion failure in db.c

Etiquetas:

DNS

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en Bind

Múltiples vulnerabilidades en productos de Cisco

Múltiples vulnerabilidades en productos VMware

Múltiples vulnerabilidades en Xen

Evasión de autenticación en Prisma Cloud Compute de Palo Alto Networks

Ejecución remota de código en Operations Bridge Manager de Micro Focus