> Estimados Listeros,
> Tengo una duda y no he podido encontrar argumentación o respaldo en los
> RFC, asi que tal vez alguien de acá me pueda ayudar.
>
> Puedo colocar una configuración de este estilo?
>
>
> internoMTA.domain.com MX 0 Ip1
> internoMTA.domain.com MX 0 Ip2
> internoMTA.domain.com MX 20
> Ip3
> internoMTA.domain.com MX 20
> Ip4
>
> Donde la zona es domain.com, no es una subzona si no un registro en
> particular con varias IP's de tipo MX con prioridades diferenciadas, la
> duda es mi me pudiera generar algun ruido con el registro MX del dominio?
> es mandante que internoMTA.domain.com sea una subzona? o no es necesario?
> hay algún RFC que hable al respecto ?
>
> Agradezco sus comentarios o experiencias.
> Saludos
> Miguel Angel Amador L.
>
---------- Mensaje reenviado ----------
De: <noticias(a)hispasec.com>
Fecha: 27 de febrero de 2015, 21:58
Asunto: una-al-dia (21/02/2015) Denegación de servicio en BIND 9
Para: unaaldia(a)uad.hispasec.com
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
-------------------------------------------------------------------
Hispasec - una-al-día 21/02/2015
Todos los días una noticia de seguridad www.hispasec.com
Síguenos en Twitter: http://twitter.com/unaaldia
Noticia en formato HTML:
http://unaaldia.hispasec.com/2015/02/denegacion-de-servicio-en-bind-9.html
-------------------------------------------------------------------
Denegación de servicio en BIND 9
--------------------------------
Se ha anunciado un problema en BIND 9 por el que bajo un raro conjunto
de condiciones se pueden producir condiciones de denegación de servicio.
El servidor de nombres BIND es uno de los más usados en Internet. Creado
en 1988, en la universidad de Berkeley, actualmente es desarrollado por
el ISC (Internet System Consortium). BIND se encuentra disponible para
una amplia gama de sistemas tanto Unix como Microsoft Windows.
El problema, con CVE-2015-1349, afecta a servidores BIND configurados
para realizar validaciones DNSSEC y que usen managed-keys (que ocurre
cuando se usa "dnssec-validation auto;" o "dnssec-lookaside auto;").
El proceso named terminará y denegará el servicio a los clientes si se
reproducen las siguientes condiciones al mismo tiempo en una cadena de
confianza:
* Una clave en la que se confiaba previamente está actualmente marcada
como revocada.
* No hay otras claves de confianza disponibles
* existe otra llave en espera, pero todavía no es de confianza.
ISC ha demostrado en una prueba de concepto que un atacante puede
reproducir un escenario en el que bajo condiciones limitadas y
específicas podría provocar una denegación de servicio. Se considera que
la complejidad del ataque es muy alta salvo que el atacante tenga una
relación específica en la red del servidor BIND atacado.
Se ven afectadas las versiones BIND 9.7.0 a BIND 9.10.1-P1, así como las
versiones de desarrollo b1 y rc1 (9.9.7b1 y rc1, 9.10.2b1 y rc1).
Se recomienda actualizar a la versión más reciente en
http://www.isc.org/downloads.
BIND 9.9.6-P2 y BIND 9.10.1-P2
También se ha corregido en las versiones en desarrollo BIND 9.9.7rc2 y
BIND 9.10.2rc2.
Opina sobre esta noticia:
http://unaaldia.hispasec.com/2015/02/denegacion-de-servicio-en-bind-9.html#…
Más información:
CVE-2015-1349: A Problem with Trust Anchor Management Can Cause named to
Crash
https://kb.isc.org/article/AA-01235
Antonio Ropero
antonior(a)hispasec.com
Twitter: @aropero
Tal día como hoy:
-----------------
21/02/2014: Nuevo ataque 0-day obliga a publicar actualización para Flash
http://www.hispasec.com/unaaldia/5599
21/02/2013: Fines y medios: Ahora la NBC
http://www.hispasec.com/unaaldia/5234
21/02/2012: Múltiples vulnerabilidades en SAP NetWeaver 7
http://www.hispasec.com/unaaldia/4868
21/02/2011: Publicado el Service Pack 1 para Windows 7
http://www.hispasec.com/unaaldia/4503
21/02/2010: La botnet Kneber en los medios
http://www.hispasec.com/unaaldia/4138
21/02/2009: Elevación de privilegios a través de pam_krb en Sun Solaris 9 y
10
http://www.hispasec.com/unaaldia/3773
21/02/2008: Ejecución remota de código en IBM Lotus Notes 6.x y 7.x
http://www.hispasec.com/unaaldia/3407
21/02/2007: ¿Se puede confiar en el UAC de Windows Vista?
http://www.hispasec.com/unaaldia/3042
21/02/2006: Actualización crítica de GnuPG
http://www.hispasec.com/unaaldia/2677
21/02/2005: Denegación de servicio en Gaim 1.x
http://www.hispasec.com/unaaldia/2312
21/02/2004: Vulnerabilidad en ZoneAlarm por error en procesamiento de SMTP
http://www.hispasec.com/unaaldia/1945
21/02/2003: Bases de datos de "hashes"
http://www.hispasec.com/unaaldia/1580
21/02/2002: Visualización y ejecución de archivos con Apache y PHP para
Windows
http://www.hispasec.com/unaaldia/1215
21/02/2001: Problemas de seguridad en diversas implementaciones SSH
http://www.hispasec.com/unaaldia/850
21/02/2000: "Unicle" y "WinExt", las segundas oleadas
http://www.hispasec.com/unaaldia/482
21/02/1999: Agujero de seguridad remoto en Mail-Max
http://www.hispasec.com/unaaldia/117
-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2015 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (MingW32)
iQEcBAEBAgAGBQJU66iPAAoJEI/UizGiFA4PqmsIAK9k4gU+9xgJ4fd5G/mKBRTq
YfH1YeN0Mns4GYAapnpC1MGow+B9e18wyPNck3IBlRcOXA5qQjhOESvpN+m5usfX
5WvLcs2MGks6qOzj7kNFiAOO3FrsPYtKgmzf1HsKrvgVGXz4VqfM1m3YMiMteRXy
dmzaMrhmmdOQbYVgRx0QZuNsFXVBIWzEugV2kv5/OCtqejhcTUt2JlHNWcilIdg9
xmDk/H/QLYsYLIcliz+SuFmdcIlupm+c0AgOSvtG1IN0D84OaFXN2q3k4xl4k3Ox
EgpSjeK4dWWLdpmWCOK/W+04Z4uKNWM/acAGOzaygdYZmJSG5M4maApr+jRz0K4=
=ZkQ2
-----END PGP SIGNATURE-----