Se ha anunciado un problema en BIND 9 por el que bajo un raro
conjunto de condiciones se pueden producir condiciones de denegación de
servicio
El servidor de nombres
BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de
Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium).
BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como
Microsoft Windows.
Recursos afectados
- Se ven afectadas las versiones BIND 9.7.0 a BIND 9.10.1-P1, así como las versiones de desarrollo b1 y rc1 (9.9.7b1 y rc1, 9.10.2b1 y rc1).
- El problema, con CVE-2015-1349, afecta a servidores BIND configurados para realizar validaciones DNSSEC y que usen managed-keys (que ocurre cuando se usa "dnssec-validation auto;" o "dnssec-lookaside auto;").
- Una clave en la que se confiaba previamente está actualmente marcada como revocada.
- No hay otras claves de confianza disponibles
- Existe otra llave en espera, pero todavía no es de confianza.
- ISC ha demostrado en una prueba de concepto que un atacante puede reproducir un escenario en el que bajo condiciones limitadas y específicas podría provocar una denegación de servicio. Se considera que la complejidad del ataque es muy alta salvo que el atacante tenga una relación específica en la red del servidor BIND atacado.
- Se recomienda actualizar a la versión más reciente en http://www.isc.org/downloads
- También se ha corregido en las versiones en desarrollo BIND 9.9.7rc2 y BIND 9.10.2rc2.
- CVE-2015-1349: A Problem with Trust Anchor Management Can Cause named to Crash https://kb.isc.org/article/AA-01235