Se han reportado tres vulnerabilidades
explotables remotamente, una de ellas de criticidad alta, que afectan a varias
versiones del software Bind., catalogada de
importancia: 4 - Alta
Recursos afectados:
Las siguientes versiones de Bind están
afectadas:
- 9.8.0 hasta la 9.8.8-P1,
- 9.9.9 hasta la 9.9.9-P7,
- 9.9.10b1 hasta la 9.9.10rc2,
- 9.10.0 hasta la 9.10.4-P7,
- 9.10.5b1 hasta la 9.10.5rc2,
- 9.11.0 hasta la 9.11.0-P4,
- 9.11.1b1 hasta la 9.11.1rc2,
- 9.9.3-S1 hasta la 9.9.9-S9
Detalle e impacto de
las vulnerabilidades
El detalle de las vulnerabilidades
descubiertas es el siguiente:
- Finalización de named cuando procesa una respuesta con registros en un orden no habitual (Criticidad Alta): Un servidor que está haciendo recursividad puede ser forzado sin un mensaje de fallo si recibe una respuesta conteniendo registros de recursos CNAME o DNAME con un orden determinado. Un atacante puede generar DoS a través de esta vulnerabilidad.
- Error en la utilización de DNS64 con "break-dnssec yes" (Criticidad Media): Una petición con un conjunto específico de características podrían provocar a un servidor que utilice DNS64 un error de ejecución y terminación abrupta, lo que derivaría en una denegación del servicio.
- Finalización de named con un error de REQUIRE si recibe una cadena de comando nula en su canal de control (Criticidad Media): Named dispone de un canal de control que, si está habilitado, puede permitir a un atacante remoto realizar un escalado de privilegios y parar el servidor sin tener permisos para ello, generando así la denegación del servicio.
Recomendación
- Actualizar a la versión parcheada más moderna. Todas las versiones de Bind pueden ser descargadas desde la página de descargas.
Más información
- CVE-2017-3136: An error handling synthesized records could cause an assertion failure when using DNS64 with "break-dnssec yes;" https://kb.isc.org/article/AA-01465/74/CVE-2017-3136
- CVE-2017-3137: A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME https://kb.isc.org/article/AA-01466/74/CVE-2017-3137
- CVE-2017-3138: named exits with a REQUIRE assertion failure if it receives a null command string on its control channel https://kb.isc.org/article/AA-01471/74/CVE-2017-3138
Fuente: INCIBE