28 de febrero de 2019

Vulnerabilidad de fuga de memoria en ISC BIND

El investigador Toshifumi Sakaguchi ha descubierto una vulnerabilidad en ISC BIND de severidad alta que podría provocar una fuga de memoria en el sistema afectado, catalogada de Importancia: 4 - Alta
Recursos afectados:
  • BIND, versiones desde 9.10.7 hasta 9.10.8-P1, desde 9.11.3 hasta 9.11.5-P1 y desde 9.12.0 hasta 9.12.3-P1
  • BIND 9 Supported Preview Edition, versiones desde 9.10.7-S1 hasta 9.11.5-S3
  • Rama de desarrollo 9.13 de BIND, versiones desde 9.13.0 hasta 9.13.6
Recomendación
Actualizar a una versión de BIND que contenga una solución para esta vulnerabilidad:
  • BIND 9.11.5-P4
  • BIND 9.12.3-P4
BIND Supported Preview Edition es una rama de BIND que ofrece una vista previa de características especiales a los clientes elegibles de soporte ISC:
  • BIND 9.11.5-S5
Detalle de vulnerabilidades
  • La vulnerabilidad puede producir un fallo en la memoria libre cuando se procesan mensajes que tienen una combinación específica de opciones EDNS. Al explotar este fallo, un atacante puede hacer que el uso de la memoria crezca sin límites hasta que se agote toda la memoria disponible para el proceso. Usualmente, un proceso del servidor está limitado en cuanto a la cantidad de memoria que puede usar, pero si dicho proceso no está controlado por el sistema operativo, toda la memoria libre en el servidor podría agotarse. Se ha reservado el identificador CVE-2018-5744 para esta vulnerabilidad.

Más información
Fuente: INCIBE