Internet Systems
Consortium (ISC) ha publicado un aviso de seguridad para abordar una
vulnerabilidad que afecta a múltiples versiones del ISC Berkeley Internet Name
Domain (BIND). Un atacante remoto podría aprovechar esta vulnerabilidad para
causar una denegación de servicio, catalogada de Importancia: 4 - Alta
Recursos afectados:
Las versiones
afectadas de BIND son:
1.
Versiones
9.7.0 a 9.8.8,
2.
Versiones
9.9.0 a 9.9.13,
3.
Versiones
9.10.0 a 9.10.8,
4.
Versiones
9.11.0 a 9.11.4,
5.
Versiones
9.12.0 a 9.12.2,
6.
Versiones
9.13.0 a 9.13.2
Recomendación
La mayoría de los
operadores no necesitarán realizar cambios a menos que estén utilizando la
función "deny-answer-aliases", que está desactivada por defecto; sólo
las configuraciones que lo habilitan explícitamente pueden verse afectadas por
esta vulnerabilidad.
Si utiliza
"deny-answer-aliases", actualice a la versión parcheada más cercana a
su versión actual de BIND.
- 9.9.13-P1
- 9.10.8-P1
- 9.11.4-P1
- 9.12.2-P1
Para BIND Supported
Preview Edition.
·
9.11.3-S3
Detalle de vulnerabilidades
BIND tiene una
característica poco utilizada denominada "deny-answer-aliases" para
ayudar a los operadores de servidores recursivos a proteger a los usuarios
finales contra ataques de revinculación de DNS (DNS rebinding), un método
potencial para eludir el modelo de seguridad utilizado por los navegadores de
los clientes. Sin embargo, un fallo en esta función hace que sea fácil, cuando
está siendo usada, sufrir un error de inserción INSIST en el archivo name.c.
Para esta vulnerabilidad se ha asignado el identificador CVE-2018-5740.
Más información
- CVE-2018-5740: A
flaw in the "deny-answer-aliases" feature can cause an INSIST
assertion failure in named https://kb.isc.org/article/AA-01639/0
Fuente: INCIBE