CVE-2012-5166 [ES]: Datos especialmente construidos en DNS pueden causar el bloqueo de named
  • 09 Oct 2012
  • 3 Minutes to read
  • Contributors
  • Dark
    Light
  • PDF

CVE-2012-5166 [ES]: Datos especialmente construidos en DNS pueden causar el bloqueo de named

  • Dark
    Light
  • PDF

Article Summary

Un servidor de nombres puede ser bloqueado si se le puede inducir a la carga de una combinación de registros construida de manera especial.

CVE: 

CVE-2012-5166

Versión del Documento:

1.0

Fecha de Publicación: 

1 octubre 2012

Programas Afectados: 

BIND

Versiones Afectadas: 

9.2.x -> 9.6.x, 9.4-ESV->9.4-ESV-R5-P1, 9.6-ESV->9.6-ESV-R7-P3, 9.7.0->9.7.6-P3, 9.8.0->9.8.3-P3, 9.9.0->9.9.1-P3

Severidad: 

Crítica

Explotable: 

Remotamente

Descripción:

Si se cargan en un servidor de nombres combinaciones específicas de RDATA a través del cache o vía una zona de autoridad, una consulta subsecuente por un registro relacionado causará que named se bloquée.

Note que todas las versiones de BIND 9.2, 9.3, 9.4 y 9.5 también son afectadas, pero esas ramas han pasado su "Fin de Vida" (EOL) y ya no son objeto de pruebas o emisión de actualizaciones de seguridad por parte de ISC. Para información actualizada sobre qué versiones están siendo soportadas activamente, por favor vea http://www.isc.org/software/bind/versions.

Impacto:

Un servidor de nombres que ha quedado bloqueado por el problema reportado en este anuncio no responderá consultas o comandos de control. La funcionalidad normal no puede ser restablecida salvo deteniendo y reiniciando named.

Esta vulnerabilidad puede ser explotada remotamente contra servidores recursivos induciéndolos a consultar registros provistos por un servidor de autoridad. Afecta servidores de autoridad si una de las combinaciones de registros es cargada de un archivo, provista en una transferencia de zona o incluída en una zona a través de actualizaciones dinámicas.

Puntuación CVSS:   7.8

Ecuación CVSS:   (AV:N/AC:L/Au:N/C:N/I:N/A:C)

Para más información sobre el Sistema Común de Puntuación de Vulnerabilidades (CVSS) y para obtener una puntuación específica a su entorno, por favor visite: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C)

Opciones de Mitigación:

Activar la opción 'minimal-responses' a 'yes' previene el bloqueo.

Estado de Explotación:

No hemos recibido reportes de la explotación pública de esta vulnerabilidad.

Solución:   Actualice a la versión corregida o a la nueva versión más similar a su versión actual de BIND. Las versiones corregidas así como las nuevas versiones de BIND pueden descargarse desde  http://www.isc.org/downloads/all

  • BIND 9 versión 9.7.7, 9.7.6-P4
  • BIND 9 versión 9.6-ESV-R8, 9.6-ESV-R7-P4
  • BIND 9 versión 9.8.4, 9.8.3-P4
  • BIND 9 versión 9.9.2, 9.9.1-P4

Agradecimientos:   ISC agradece a Jake Montgomery de Dyn, Inc.

Historia de Revisiones:

1.0 - 1 Oct., 2012  Notificación Elevada a Fase 1

Referencias:

Vea nuestra BIND Security Matrix para obtener un listado completo de vulnerabilidades y versiones afectadas. Si necesita más información sobre nuestro Foro o servicios de soporte, por favor visite  www.isc.org/software/guild o www.isc.org/support.

¿Aun tiene preguntas? Las preguntas sobre este anuncio deben dirigirse a security-officer@isc.org

Nota:  ISC actualiza únicamente currently supported versions. Cuando es posible, indicamos las versiones EOL afectadas.

Política de Divulgación de Vulnerabilidades de Seguridad de ISC:    Los detalles sobre nuestra política y prácticas sobre divulgación de vulnerabilidades de seguridad pueden encontrarse en: https://www.isc.org/security-vulnerability-disclosure-policy

Este artículo en nuestra base de conocimiento  https://kb.isc.org/article/AA-00801 es el documento oficial y completo sobre esta advertencia de seguridad. También existe un artículo resumen que apunta a este anuncio, en la dirección: https://www.isc.org/software/bind/advisories/cve-2012-5166

Condiciones Legales:

Internet Systems Consortium (ISC) está suministrando este aviso "COMO ESTÁ". Este aviso no contiene y tampoco debe inferirse ninguna garantía de clase alguna. ISC excluye expresamente cualquier garantía sobre este aviso o los materiales a los que se refiere este aviso incluyendo, sin limitaciones, cualquier garantía inferida sobre la habilidad de transar comercialmente o de que el material sea apropiado para propósito alguno, ausencia de defectos ocultos o no-infringimiento. Su uso, o dependencia, sobre este aviso o los materiales a los que se refiere este aviso es a su propia cuenta y riesgo. ISC puede cambiar este aviso en cualquier momento. Los términos y definiciones oficiales son los que aparecen en la versión en inglés de este aviso. Las versiones en otros idiomas están sometidas a las condiciones de la publicación en inglés.

Una copia individual o parafraseo del texto de este documento que omita el URL de distribución en la sección que sigue es una copia no controlada. Las copias no controladas pueden estar incompletas, desactualizadas o contener errores.

© 2001-2018 Internet Systems Consortium For assistance with problems and questions for which you have not been able to find an answer in our Knowledge Base, we recommend searching our community mailing list archives and/or posting your question there (you will need to register there first for your posts to be accepted). The bind-users and the dhcp-users lists particularly have a long-standing and active membership. ISC relies on the financial support of the community to fund the development of its open source software products. If you would like to support future product evolution and maintenance as well having peace of mind knowing that our team of experts are poised to provide you with individual technical assistance whenever you call upon them, then please consider our Professional Subscription Support services - details can be found on our main website.