ISC ha publicado actualizaciones del servidor DNS BIND, destinadas a solucionar dos vulnerabilidades que podrían causar denegaciones de servicio a través de consultas especialmente manipuladas.
El servidor de
nombres BIND es uno de los más usados en Internet. Creado en 1988, en la
universidad de Berkeley, actualmente es desarrollado por el ISC (Internet
System Consortium). BIND se encuentra disponible para una amplia gama de
sistemas tanto Unix como Microsoft Windows.
El primer fallo,
con CVE-2015-5722, reside en el tratamiento incorrecto de llaves DNSSEC mal
construidas que puede provocar una caída de debido a un fallo en
"buffer.c". Un atacante remoto podría provocar esta condición
mediante consultas especialmente manipuladas que requieran una respuesta desde
una zona remota que deliberadamente contenga una llave maliciosa. Afecta a las
versiones BIND 9.0.0 a 9.8.8, BIND 9.9.0 a 9.9.7-P2 y BIND 9.10.0 a 9.10.2-P3
Por otra parte, con CVE-2015-5986, el tratamiento
inadecuado de respuestas específicamente manipuladas puede provocar un fallo de
comprobación de límites en "openpgpkey_61.c" que causará la caída de
named. Se ven afectadas las versiones BIND 9.9.7 a 9.9.7-P2 y 9.10.2 a
9.10.2-P3.
Recomendaciones
- Se recomienda actualizar a las versiones más recientes BIND 9.9.7-P3 y BIND 9.10.2-P4 disponibles en http://www.isc.org/downloads
- CVE-2015-5722: Parsing malformed keys may cause BIND to exit due to a failed assertion in buffer.c https://kb.isc.org/article/AA-01287/0
- CVE-2015-5986: An incorrect boundary check can trigger a REQUIRE assertion failure in openpgpkey_61.c https://kb.isc.org/article/AA-01291/0