1 de julio de 2017

BIND 9. Publicadas nuevas versiones

ISC ha lanzado nuevas versiones del servidor DNS BIND 9, destinadas a solucionar dos vulnerabilidades (una considerada de gravedad crítica y otra de importancia media).
El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.
La vulnerabilidad de gravedad crítica, con CVE-2017-3141, reside en que el instalador de BIND en Windows usa una ruta sin comillas lo que podría permitir a un atacante local elevar sus privilegios en el sistema. Afecta a versiones 9.2.6-P2 a 9.2.9, 9.3.2-P1 a 9.3.6, 9.4.0 a 9.8.8, 9.9.0 a 9.9.10, 9.10.0 a 9.10.5, 9.11.0 a 9.11.1, 9.9.3-S1 a 9.9.10-S1 y 9.10.5-S1.
Por otra parte, con CVE-2017-3140, si named está configurado para emplear Response Policy Zones (RPZ) un error al procesar algunas reglas puede dar lugar a una condición en la que BIND cae en un bucle sin fin mientras trata una consulta. Afecta a versiones 9.9.10, 9.10.5, 9.11.0 a 9.11.1, 9.9.10-S1 y 9.10.5-S1.
Además, por problemas de integración con el uso de LMDB en BIND 9.11.0 and 9.11.1 el ISC recomienda desactivar LMDB, hasta la publicación de BIND 9.11.2 (en julio o agosto).
Se recomienda actualizar a las versiones más recientes BIND 9 versión 9.9.10-P1, 9.10.5-P1 y 9.11.1-P1, disponibles en: http://www.isc.org/downloads.
Más información:
CVE-2017-3141: Windows service and uninstall paths are not quoted when BIND is installed https://kb.isc.org/article/AA-01496/74/CVE-2017-3141
CVE-2017-3140: An error processing RPZ rules can cause named to loop endlessly after handling a query https://kb.isc.org/article/AA-01495/74/CVE-2017-3140
Operational Notification: LMDB integration problems with BIND 9.11.0 and 9.11.1 https://kb.isc.org/article/AA-01497
Fuente: Hispasec.com