ISC ha publicado un aviso en el que informa de una
vulnerabilidad de denegación de servicio en versiones del servidor DNS BIND 9
anteriores a mayo de 2013.
El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.
El problema, con CVE-2016-2848, reside en que un paquete
con la sección de opciones específicamente construida puede provocar un fallo
de aserción, con la consiguiente caída del servicio. El problema fue corregido
en las versiones de BIND distribuidas por ISC en mayo de 2013. Sin embargo
algunas versiones de BIND, distribuidas por otras partes, siguen siendo
vulnerables al no contener el cambio #3548.
Afecta a versiones de BIND 9.1.0 a 9.8.4-P2 y 9.9.0 a 9.9.2-P2, que no incluyan el cambio #3548 (anteriores a mayo de 2013).
Se recomienda actualizar a las versiones más recientes
BIND 9.9.9-P3, 9.10.4-P3 y 9.11.0, disponibles
desde http://www.isc.org/downloads
Más información:
- CVE-2016-2848: A packet with malformed options can trigger an assertion failure in ISC BIND versions released prior to May 2013 and in packages derived from releases prior to that date. https://kb.isc.org/article/AA-01433
