Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en BIND

Múltiples vulnerabilidades en BIND

Fecha de publicación: 
23/09/2022
Identificador: 
INCIBE-2022-0935
Importancia: 
4 - Alta
Recursos afectados: 
  • BIND, versiones:
    • desde 9.18.0, hasta 9.18.6;
    • desde 9.19.0, hasta 9.19.4;
    • desde 9.8.4, hasta 9.16.32;
    • desde 9.9.12, hasta 9.9.13;
    • desde 9.10.7, hasta 9.10.8.
  • BIND Supported Preview Editions, versiones:
    • desde 9.9.4-S1, hasta 9.11.37-S1;
    • desde 9.16.8-S1, hasta 9.16.32-S1.
Descripción: 

Se han publicado 4 vulnerabilidades de severidad alta en BIND, que podrían permitir a un atacante dañar la memoria disponible, finalizar el proceso named o causar una fuga de memoria.

Solución: 

Actualizar a:

  • BIND:
    • 9.16.33;
    • 9.18.7;
    • 9.19.5.
  • BIND Supported Preview Edition 9.16.33-S1.
Detalle: 
  • Los cambios entre OpenSSL 1.x y OpenSSL 3.0 exponen un fallo en named que provoca una pequeña fuga de memoria en el procesamiento de claves cuando se utilizan registros TKEY en modo Diffie-Hellman con OpenSSL 3.0.0 y versiones posteriores. Se ha asignado el identificador CVE-2022-2906 para esta vulnerabilidad.
  • El resolver de BIND 9 podría fallar cuando la caché y las respuestas antiguas están activadas, la opción stale-answer-client-timeout está establecida en 0 y hay un CNAME antiguo en la caché para una consulta entrante. Se ha asignado el identificador CVE-2022-3080 para esta vulnerabilidad.
  • El código de verificación de DNSSEC para el algoritmo ECDSA pierde memoria cuando hay un desajuste en la longitud de la firma. Se ha asignado el identificador CVE-2022-38177 para esta vulnerabilidad.
  • El código de verificación de DNSSEC para el algoritmo EdDSA pierde memoria cuando hay un desajuste en la longitud de la firma. Se ha asignado el identificador CVE-2022-38178 para esta vulnerabilidad.

Encuesta valoración