ISC ha publicado nuevas versiones del servidor DNS BIND 9.9.8 y 9.10.3, destinadas a solucionar cuatro vulnerabilidades que podrían causar denegaciones de servicio a través de consultas especialmente manipuladas.
El servidor de
nombres BIND es uno de los más usados en Internet. Creado en 1988, en la
universidad de Berkeley, actualmente es desarrollado por el ISC (Internet
System Consortium). BIND se encuentra disponible para una amplia gama de
sistemas tanto Unix como Microsoft Windows.
El primer fallo,
con CVE-2015-5722, reside en el tratamiento incorrecto de llaves DNSSEC mal
construidas que puede provocar una caída de debido a un fallo en
"buffer.c". Un atacante remoto podría provocar esta condición
mediante consultas especialmente manipuladas que requieran una respuesta desde
una zona remota que deliberadamente contenga una llave maliciosa.
Por otra parte,
con CVE-2015-5986, el tratamiento inadecuado de respuestas específicamente
manipuladas puede provocar un fallo de comprobación de límites en
"openpgpkey_61.c" que causará la caída de named.
También se
soluciona una vulnerabilidad, con CVE-2015-5477, en el tratamiento incorrecto
de consultas que podría provocar un fallo en message.c. Por último, en
servidores configurados para realizar validación DNSSEC, se podría provocar un
fallo en respuestas desde un servidor específicamente configurado
(CVE-2015-4620).
Estas versiones
también incluyen nuevas características, cambios en funcionalidades y múltiples
correcciones de fallos no relacionados directamente con la seguridad.
Recomendación
- Se recomienda actualizar a las versiones más recientes BIND 9.9.8 y BIND 9.10.3 disponibles en http://www.isc.org/downloads
- Hay que señalar que la rama 9.9 de BIND ya se encuentra bajo soporte extendido que finalizará en junio del año que viene.
- BIND 9.9.8 Release Notes https://kb.isc.org/article/AA-01305/
- BIND 9.10.3 Release Notes https://kb.isc.org/article/AA-01306
