---------- Mensaje reenviado ---------- De: <noticias@hispasec.com> Fecha: 27 de febrero de 2015, 21:58 Asunto: una-al-dia (21/02/2015) Denegación de servicio en BIND 9 Para: unaaldia@uad.hispasec.com
Denegación de servicio en BIND 9
--------------------------------
Se ha anunciado un problema en BIND 9 por el que bajo un raro conjunto
de condiciones se pueden producir condiciones de denegación de servicio.
El servidor de nombres BIND es uno de los más usados en Internet. Creado
en 1988, en la universidad de Berkeley, actualmente es desarrollado por
el ISC (Internet System Consortium). BIND se encuentra disponible para
una amplia gama de sistemas tanto Unix como Microsoft Windows.
El problema, con CVE-2015-1349, afecta a servidores BIND configurados
para realizar validaciones DNSSEC y que usen managed-keys (que ocurre
cuando se usa "dnssec-validation auto;" o "dnssec-lookaside auto;").
El proceso named terminará y denegará el servicio a los clientes si se
reproducen las siguientes condiciones al mismo tiempo en una cadena de
confianza:
* Una clave en la que se confiaba previamente está actualmente marcada
como revocada.
* No hay otras claves de confianza disponibles
* existe otra llave en espera, pero todavía no es de confianza.
ISC ha demostrado en una prueba de concepto que un atacante puede
reproducir un escenario en el que bajo condiciones limitadas y
específicas podría provocar una denegación de servicio. Se considera que
la complejidad del ataque es muy alta salvo que el atacante tenga una
relación específica en la red del servidor BIND atacado.
Se ven afectadas las versiones BIND 9.7.0 a BIND 9.10.1-P1, así como las
versiones de desarrollo b1 y rc1 (9.9.7b1 y rc1, 9.10.2b1 y rc1).
Se recomienda actualizar a la versión más reciente en http://www.isc.org/downloads.
BIND 9.9.6-P2 y BIND 9.10.1-P2
También se ha corregido en las versiones en desarrollo BIND 9.9.7rc2 y
BIND 9.10.2rc2.