19 de agosto de 2018

Vulnerabilidades en servidores de ISC BIND

Internet Systems Consortium (ISC) ha publicado un aviso de seguridad para abordar una vulnerabilidad que afecta a múltiples versiones del ISC Berkeley Internet Name Domain (BIND). Un atacante remoto podría aprovechar esta vulnerabilidad para causar una denegación de servicio, catalogada de Importancia: 4 - Alta
Recursos afectados:
Las versiones afectadas de BIND son:
1.    Versiones 9.7.0 a 9.8.8,
2.    Versiones 9.9.0 a 9.9.13,
3.    Versiones 9.10.0 a 9.10.8,
4.    Versiones 9.11.0 a 9.11.4,
5.    Versiones 9.12.0 a 9.12.2,
6.    Versiones 9.13.0 a 9.13.2
Recomendación
La mayoría de los operadores no necesitarán realizar cambios a menos que estén utilizando la función "deny-answer-aliases", que está desactivada por defecto; sólo las configuraciones que lo habilitan explícitamente pueden verse afectadas por esta vulnerabilidad.
Si utiliza "deny-answer-aliases", actualice a la versión parcheada más cercana a su versión actual de BIND.
  • 9.9.13-P1
  • 9.10.8-P1
  • 9.11.4-P1
  • 9.12.2-P1
Para BIND Supported Preview Edition.
·        9.11.3-S3
Detalle de vulnerabilidades
BIND tiene una característica poco utilizada denominada "deny-answer-aliases" para ayudar a los operadores de servidores recursivos a proteger a los usuarios finales contra ataques de revinculación de DNS (DNS rebinding), un método potencial para eludir el modelo de seguridad utilizado por los navegadores de los clientes. Sin embargo, un fallo en esta función hace que sea fácil, cuando está siendo usada, sufrir un error de inserción INSIST en el archivo name.c. Para esta vulnerabilidad se ha asignado el identificador CVE-2018-5740.
Más información
Fuente: INCIBE