ISC BIND. Denegación de servicio

Una vulnerabilidad relacionada con la gestión de la cadena de confianza (Trust Anchor) en la validación DNSSEC puede provocar una denegación de servicio a causa de la caída del proceso named. La vulnerabilidad se ha catalogado de Importancia: 3 - Media

Recursos afectados

Servidores BIND que realicen validación DNSSEC y que gestionen claves de confianza, y que se correspondan con las siguientes versiones:

• Versiones 9.7.0 a 9.10.1-P1.
• Versiones de desarrollo 9.9.7b1 y rc1, 9.10.2b1 y rc1.

Detalle e Impacto de la vulnerabilidad

Los servidores BIND implementados con DNSSEC y que gestionan claves de de confianza (cuando se utilizan las claúsulas "dnssec-validation auto;" o "dnssec-lookaside auto;") pueden fallar y detener su ejecución bajo alguna de las siguentes circunstancias:

1. Una clave de confianza se marca como revocada
2. No existen otras claves verificadas de confianza
3. Existe una clave pero aún no ha sido verificada

Bajo esas circunstancias, en la renovación de claves de confianza de forma incorrecta o manipulada, puede provocar denegación del servicio a causa de la caída del proceso named.

Recomendación

Aplicar el parche generado por el fabricante según corresponda a la versión afectada. Las actualizaciones son:

• BIND 9.9.6-P2
• BIND 9.10.1-P2
• BIND 9.9.7rc2
• BIND 9.10.2rc2

Los parches pueden obtenerse en el siguiente enlace: http://www.isc.org/downloads

Más información

• ISC A Problem with Trust Anchor Management Can Cause named to Crash  https://kb.isc.org/article/AA-01235/74/CVE-2015-1349%3A-A-Problem-with-Trust-Anchor-Management-Can-Cause-named-to-Crash.html

Fuente: INCIBE