CVE-2012-5689 [ES]: BIND 9 con DNS64 habilitado puede terminar inesperadamente resolviendo dominios en RPZ

ISC ha obtenido información sobre el potencial para una condición de error en BIND 9 que puede causar que un servidor de nombres aborte con una falla de aserción al procesar consultas si este ha sido configurado para usar DNS64 y Response Policy Zones (RPZ).

CVE: CVE-2012-5689

Versión del Documento: 2.0

Fecha de Publicación: 24 enero 2013

Programas Afectados: BIND 9

Versiones Afectadas: 9.8.0->9.8.4-P1, 9.9.0->9.9.2-P1

Severidad: Baja

Explotable: Remotamente

Descripción:

Se puede presentar una condición de error cuando un servidor de nombres configurado para usar DNS64 ejecuta una consulta AAAA para un registro que tiene una regla de reescritura A en una Zona de Política de Respuesta (RPZ). Si la RPZ no puede suministrar un registro AAAA para el nombre pero ofrece un registro A reescrito, entonces el código que procesa DNS64 intentará asociar el registro A en un nuevo registro AAAA. Debido a un error de programación, esta interacción entre la base de datos de RPZ y el código de reasociación de DNS64 puede causar que el proceso named termine con una falla de aserción.

ISC cree que el número de sistemas activos que han sido configurados para usar simultáneamente DNS64 y reglas de reescritura RPZ es extremadamente pequeño. Más aun, el problema tiene una solución sencilla (ver más abajo). Sin embargo, la política de ISC requiere la publicación de cualquier vulnerabilidad en BIND 9 sin importar la dificultad de que las condiciones requeridas se presenten en ambientes de producción. Por tanto, a pesar del puntaje CVSS, hemos asignado una severidad Baja e integraremos la corrección en la siguiente distribución beta de las versiones afectadas. No están planificado producir versiones con parches porque las contramedidas son sencillas y ofrecen protección total.

Para prevenir la exposición accidental a aquellos que emplean estas características simultáneamente, futuras versiones de BIND 9 incluirán código para prevenir la explotación de este defecto, comenzando con las versiones beta programadas para su distribución a partir del 24 de enero del 2013. Sin embargo, la contramedida que sugerimos en este documento es un remedio completo para quienes usan DNS64 y RPZ simultáneamente. Esta es nuestra recomendación más que emplear código beta en ambientes de producción.

Impacto:

Sólamente aquellos servidores de nombres que han sido configurados para usar DNS64 y Zonas de Política de Respuesta simultáneamente y que tienen configuradas reglas de reescritura para registros A pero no para registros AAAA pueden ser afectados por este problema, Esto es, sólo aquellos sistemas que usan RPZ para reescribir registros DNS a registros A y luego intentan reasociar esos mismos registros A con registros AAAA usando DNS64 están afectados. Los sistemas que sólo usan RPZ para generar respuestas NXDOMAIN, CNAME o NOERROR/NODATA o que reescriben otros tipos de registros aparte de A, no están afectados por este defecto.

Puntuación CVSS: 7.8

Ecuación CVSS: (AV:N/AC:L/Au:N/C:N/I:N/A:C)

Para más información sobre el Sistema Común de Puntuación de Vulnerabilidades (CVSS) y para obtener una puntuación específica a su entorno, por favor visite: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C).

Contramedidas:

Si está usando DNS64 y RPZ simultáneamente, asegúrese de que la zona RPZ contiene una regla de reescritura para AAAA por cada regla de reescritura para A. Si RPZ provee una respuesta AAAA sin asistencia de DNS64, este defecto no se activa.

Explotación Activa: No se sabe de ninguna actividad de explotación.

Solución: Si está usando actualmente una de las versiones afectadas, tiene dos opciones:

• Use la contramedida explicada más arriba.
• Espere por la publicación de paquetes de BIND que incluyan la corrección para impedir la posible explotación de este defecto.

Reconocimientos: ISC extiende su agradecimiento a Pories Ediansyah del Institut Teknologi Bandung por llamar nuestra atención sobre este defecto.

Historia de Revisiones del Documento:

1.0 - Notificación a Fase 1, 17 enero 2013
1.1 - Notificación a Fases 2 y 3, 23 enero 2013
2.0 - Notificación a Fase 4 (Público), 24 enero 2013

Documentos Relacionados:

Vea nuestra BIND 9 Security Vulnerability Matrix (Matriz de Seguridad de BIND) para un listado completo de las vulnerabilidades de seguridad y las versiones afectadas.

Para más información sobre nuestro Forum o el soporte a nuestros productos, por favor visite https://www.isc.org/support.

¿Tiene más preguntas? Las preguntas sobre esta notificación deben dirigirse a security-officer@isc.org.

Política de Divulgación de Vulnerabilidades de Seguridad de ISC: Los detalles de nuestra política y prácticas de divulgación de notificaciones de seguridad se pueden encontrar en https://kb.isc.org/docs/aa-00861.

El artículo https://kb.isc.org/docs/aa-00855 en nuestra Base de Conocimiento es el documento completo y oficial de notificación de seguridad.

Condiciones Legales:

Internet Systems Consortium (ISC) está suministrando este aviso "COMO ESTÁ". Este aviso no contiene y tampoco debe inferirse ninguna garantía de clase alguna. ISC excluye expresamente cualquier garantía sobre este aviso o los materiales a los que se refiere este aviso incluyendo, sin limitaciones, cualquier garantía inferida sobre la habilidad de transar comercialmente o de que el material sea apropiado para propósito alguno, ausencia de defectos ocultos o no-infringimiento. Su uso, o dependencia, sobre este aviso o los materiales a los que se refiere este aviso es a su propia cuenta y riesgo. ISC puede cambiar este aviso en cualquier momento. Los términos y definiciones oficiales son los que aparecen en la versión en inglés de este aviso. Las versiones en otros idiomas están sometidas a las condiciones de la publicación en inglés. Una copia individual o parafraseo del texto de este documento que omita el URL de distribución en la sección que sigue es una copia no controlada. Las copias no controladas pueden estar incompletas, desactualizadas o contener errores.