ISC confirmó dos vulnerabilidades que afectan a BIND 9 y que permite a un atacante remoto causar condiciones de denegación de servicio.
BIND (Berkeley Internet Name Domain) es el software para gestión del protocolo DNS más utilizado en Internet gracias a su compatibilidad con los estándares de este protocolo.
El primero de los problemas, con CVE-2012-3817, solamente afecta a sistemas configurados con validación DNSSEC. BIND almacena una caché con los nombres de las consultas que sabe que están fallando debido a una mala configuración de los servidores o a una rotura de la cadena de confianza. Bajo grandes cargas de consultas cuando la validación DNSSEC está activa, es posible provocar una condición en que se usen los datos de esta caché de consultas fallidas antes de que esté totalmente inicializada, provocando un error de aserción. Afecta a las versiones 9.6-ESV-R1 hasta 9.6-ESV-R7-P1; 9.7.1 hasta 9.7.6-P1; 9.8.0 hasta 9.8.3-P1; 9.9.0 hasta 9.9.1-P1. Las versiones de BIND 9.4 y 9.5 también se ven afectadas, pero estas ramas están fuera del soporte y no se van a publicar actualizaciones de seguridad.
El problema con CVE-2012-3868 afecta a las versiones 9.9.0 hasta 9.9.1-P1. BIND realiza el seguimiento de las consultas entrantes a través de una estructura llamada "ns_client". Cuando se ha respondido una consulta y la estructura "ns_client" ya no es necesaria, se almacena en una cola de "ns_client" inactivos. Cuando se necesita un nuevo "ns_client" para una nueva consulta, se comprueba la cola para ver si hay disponible algún "ns_client" inactivo antes de asignar uno nuevo. Esto acelera el sistema, evitando asignaciones y desasignaciones de memoria innecesarias. Sin embargo, cuando la cola está vacía, y un hilo inserta un "ns_client" en ella mientras otro hilo intenta eliminarlo, una condición de carrera podría provocar la pérdida del "ns_client", ya que la cola puede parecer vacía. En este caso, se asigna en memoria un nuevo "ns_client". Es raro que se produzca esta condición con consultas UDP, pero puede ser bastante frecuente con altas cargas de consultas TCP; con el tiempo, el número de asignaciones erróneas de "ns_client" puede ser suficientemente grande para afectar el rendimiento del sistema. Incluso, puede provocar un cierre automático del proceso named en sistemas con mecanismo "OOM (out-of-memory) Killer".
Se recomienda actualizar a las versiones más recientes de BIND 9 versión 9.9.1-P2, versión 9.8.3-P2, versión 9.7.6-P2 o versión 9.6-ESV-R7-P2 disponibles desde: http://www.isc.org/downloads/all
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2012/07/solucionadas-dos-vulnerabilidades-en.html
BIND (Berkeley Internet Name Domain) es el software para gestión del protocolo DNS más utilizado en Internet gracias a su compatibilidad con los estándares de este protocolo.
El primero de los problemas, con CVE-2012-3817, solamente afecta a sistemas configurados con validación DNSSEC. BIND almacena una caché con los nombres de las consultas que sabe que están fallando debido a una mala configuración de los servidores o a una rotura de la cadena de confianza. Bajo grandes cargas de consultas cuando la validación DNSSEC está activa, es posible provocar una condición en que se usen los datos de esta caché de consultas fallidas antes de que esté totalmente inicializada, provocando un error de aserción. Afecta a las versiones 9.6-ESV-R1 hasta 9.6-ESV-R7-P1; 9.7.1 hasta 9.7.6-P1; 9.8.0 hasta 9.8.3-P1; 9.9.0 hasta 9.9.1-P1. Las versiones de BIND 9.4 y 9.5 también se ven afectadas, pero estas ramas están fuera del soporte y no se van a publicar actualizaciones de seguridad.
El problema con CVE-2012-3868 afecta a las versiones 9.9.0 hasta 9.9.1-P1. BIND realiza el seguimiento de las consultas entrantes a través de una estructura llamada "ns_client". Cuando se ha respondido una consulta y la estructura "ns_client" ya no es necesaria, se almacena en una cola de "ns_client" inactivos. Cuando se necesita un nuevo "ns_client" para una nueva consulta, se comprueba la cola para ver si hay disponible algún "ns_client" inactivo antes de asignar uno nuevo. Esto acelera el sistema, evitando asignaciones y desasignaciones de memoria innecesarias. Sin embargo, cuando la cola está vacía, y un hilo inserta un "ns_client" en ella mientras otro hilo intenta eliminarlo, una condición de carrera podría provocar la pérdida del "ns_client", ya que la cola puede parecer vacía. En este caso, se asigna en memoria un nuevo "ns_client". Es raro que se produzca esta condición con consultas UDP, pero puede ser bastante frecuente con altas cargas de consultas TCP; con el tiempo, el número de asignaciones erróneas de "ns_client" puede ser suficientemente grande para afectar el rendimiento del sistema. Incluso, puede provocar un cierre automático del proceso named en sistemas con mecanismo "OOM (out-of-memory) Killer".
Se recomienda actualizar a las versiones más recientes de BIND 9 versión 9.9.1-P2, versión 9.8.3-P2, versión 9.7.6-P2 o versión 9.6-ESV-R7-P2 disponibles desde: http://www.isc.org/downloads/all
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2012/07/solucionadas-dos-vulnerabilidades-en.html
No hay comentarios:
Publicar un comentario