Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad en BIND puede provocar un fallo del servicio

Vulnerabilidad en BIND puede provocar un fallo del servicio

Fecha de publicación: 
20/01/2016
Importancia: 
4 - Alta
Recursos afectados: 
Las versiones afectadas son:
  • BIND 9.3.0 a 9.8.8
  • BIND 9.9.0 a 9.9.8-P2
  • BIND 9.9.3-S1 a 9.9.8-S3
  • BIND 9.10.0 a 9.10.3-P2

NOTA: Las versiones BIND desde 9.3 hasta 9.8 están igualmente afectadas por la vulnerabilidad, pero estas ramas se encuentran fuera de la línea de soporte.

Descripción: 

Un fallo en la verificación del tamaño de búfer en operaciones de formato puede provocar la caída de la aplicación

Solución: 
Aplicar la actualización correspondiente según la versión afectada:
  • BIND 9 versión 9.9.8-P3
  • BIND 9 versión 9.10.3-P3
Las actualizaciones pueden descargarse del sitio web del fabricante en el siguiente enlace: http://www.isc.org/downloads
Detalle: 

El módulo apl_42.c contiene un error en el código que verifica el tamaño del búfer al tratar cadenas de texto. Este fallo provoca la salida de la aplicación con un fallo INSIST.

El problema puede producirse, entre otros, en los siguientes casos:

  • Esclavos que utilicen ficheros de base de datos con formato de texto, si reciben un registro mal formateado desde el maestro.
  • Maestros que utilicen ficheros de base de datos con formato de texto, al aceptar un registro mal construido en un mensaje de actualización DDNS.
  • Servidores recursivos al depurar ficheros de logs, si reciben un registro manipulado desde un servidor malicioso.
  • Un servidor que ha almacenado en caché un registro especialmente manipulado, al ejecutar la operación "rndc dumpdb".
Etiquetas: