ISC ha publicado nuevas versiones del
servidor DNS BIND 9, destinadas a solucionar tres vulnerabilidades (una
considerada de gravedad alta y dos de importancia media) que podrían causar
condiciones de denegación de servicio a través de consultas especialmente
manipuladas.
El servidor de nombres BIND es uno de
los más usados en Internet. Creado en 1988, en la universidad de Berkeley,
actualmente es desarrollado por el ISC (Internet System Consortium). BIND se
encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft
Windows.
La vulnerabilidad de gravedad alta,
con CVE-2017-3137, consiste en que se asume de forma errónea el orden de los
registros en una respuesta que contenga registros de recursos CNAME o DNAME.
Esto podría dar lugar a un fallo de aserción con la finalización de named al
procesar una respuesta en la que los registros se encuentran en un orden
inusual. Afecta a versiones 9.9.9-P6, 9.9.10b1a 9.9.10rc1, 9.10.4-P6, 9.10.5b1a
9.10.5rc1, 9.11.0-P3, 9.11.1b1-a 9.11.1rc1 y 9.9.9-S8.
Por otra parte, con CVE-2017-3136, una
consulta con un conjunto específico de caracteres podría provocar un fallo de
aserción y la caída de un servidor que use DNS64. Afecta a versiones 9.8.0 a
9.8.8-P1, 9.9.0 a 9.9.9-P6, 9.9.10b1 a 9.9.10rc1, 9.10.0 a 9.10.4-P6, 9.10.5b1
a 9.10.5rc1, 9.11.0 a 9.11.0-P3, 9.11.1b1 a 9.11.1rc1 y 9.9.3-S1 a 9.9.9-S8.
Por último, con CVE-2017-3138, un
cambio en una característica reciente introdujo una regresión que ha creado una
situación bajo la que algunas versiones de named pueden provocar un fallo de
aserción si reciben una cadena de comando nula. Afecta a versiones 9.9.9 a
9.9.9-P7, 9.9.10b1 a 9.9.10rc2, 9.10.4 a 9.10.4-P7, 9.10.5b1 a 9.10.5rc2,
9.11.0 a 9.11.0-P4, 9.11.1b1 a 9.11.1rc2, 9.9.9-S1 a 9.9.9-S9.
Se recomienda actualizar a las
versiones más recientes BIND 9.9.9-P8, 9.10.4-P8, 9.11.0-P5 y 9.9.9-S10,
disponibles en: http://www.isc.org/downloads
Más
información:
- CVE-2017-3137: A
response packet can cause a resolver to terminate when processing an
answer containing a CNAME or DNAME https://kb.isc.org/article/AA-01466
- CVE-2017-3136:
An error handling synthesized records could cause an assertion failure
when using DNS64 with "break-dnssec yes;" https://kb.isc.org/article/AA-01465
- CVE-2017-3138:
named exits with a REQUIRE assertion failure if it receives a null command
string on its control channel https://kb.isc.org/article/AA-01471