Internet Systems Consortium anunció que las actualizaciones liberadas para el software DNS BIND soluciona vulnerabilidades de denegación de servicio que pueden ser explotadas de forma remota
Las versiones de BIND 9.9.9-P8, P8 y 9.10.4-9.11.0-P5 tienen tres nuevos agujeros de seguridad que podría conducir a un error de aserción.
El más grave de los defectos, con un nivel de gravedad “alto” y una puntuación CVSS de 7,5, es CVE-2017 a 3137. La vulnerabilidad permite a un atacante causar una condición de denegación, y que afecta principalmente solucionadores recursivos, pero los servidores de autoridad también podría ser vulnerable sin ejecutar la recursividad.
“Un servidor que está realizando la recursión puede ser forzado a salir con un error de aserción si puede ser causado para recibir una respuesta que contiene CNAME o registros de recursos DNAME con cierto orden”, segun el ISC.
Otra vulnerabilidad parcheada con las últimas actualizaciones de BIND es CVE-2017-3136, un problema de gravedad media que afecta a los servidores configurados para utilizar DNS64 con la opcion "break-dnssec yes;".
El tercer defecto, CVE-2017-3138, puede ser explotado para causar proceso del servidor de nombres BIND (llamado) a la salida mediante el envío de una cadena de comando nulo en su canal de control. Sin embargo, el defecto sólo se puede aprovechar de forma remota desde los hosts que se permite el acceso al canal de control.
ISC dijo que no había evidencia de que cualquiera de estas vulnerabilidades habían sido explotados en la naturaleza.
A principios de abril, Ixia ingeniero de software de seguridad Oana Murarasu informó del hallazgo de un nuevo ataque DDoS método de amplificación. El experto descubrió que la resolución de DNS recursivo de BIND permite a los ataques de reflexión a través de las respuestas de consultas DNAME raíz.
“Este ataque de amplificación genera respuestas 10 o más veces mayor que la consulta enviada”, explicó Murarasu. “Por cada 1 megabit de tráfico enviado, 10 megabits se envía a la víctima.”
El problema se ha notificado al ISC, pero la organización ha determinado que estos ataques son posibles debido a un fallo en el diseño del protocolo y no una vulnerabilidad en BIND en sí. Ixia dicho servidor DNS de Microsoft no es susceptible a este tipo de ataques.
Fecha actualización el 2017-7-2. Fecha publicación el 2017-4-13. Categoría: Seguridad. Autor: Oscar olg Mapa del sitio Fuente: securityweek