CVE-2013-2266 [ES]: Una Expresión Regular Construída Maliciosamente Puede Ocasionar Agotamiento de Memoria en named

Un defecto crítico en BIND 9 permite que un atacante cause un consumo excesivo de memoria en named u otros programas enlazados con libdns.

CVE: CVE-2013-2266

Versíon del Documento: 2.0

Fecha de Publicación: 26 de marzo 2013

Programa Afectado: BIND

Versiones Afectadas: Versiones "Unix" de BIND 9.7.x, 9.8.0 -> 9.8.5b1, 9.9.0 -> 9.9.3b1. (Las versiones Windows no están afectadas. Las versiones de BIND 9 previas a 9.7.0 (incluyendo BIND 9.6-ESV) no están afectadas. BIND 10 no está afectado.)

Severidad: Crítica

Explotable: Remotamente

Descripción:

Un defecto en una librería empleada por BIND 9.7, 9.8 y 9.9, cuando se compila en Unix o sistemas operativos relacionados, permite que un atacante cause deliberadamente un consumo excesivo de memoria de parte del proceso named, potencialmente llevando al agotamiento de recursos de memoria del servidor afectado. Esta condición puede detener BIND 9 y probablemente afectará severamente la operación de otros programas que se ejecutan en el mismo equipo.

Por favor note: Las versiones de BIND 9.7 han excedido su "fin de vida" (EOL por sus siglas en inglés). ISC ya no produce pruebas o actualizaciones de seguridad para estas versiones. Sin embargo, el método de re-compilación que se describe en la sección "Opciones de Mitigación" de este documento, previene la explotación de esta vulnerabilidad tanto en BIND 9.7 como en sus versiones actualmente soportadas.

Puede encontrar información adicional en la Lista de Preguntas Frecuentes (FAQ por sus siglas en inglés) de CVE-2013-2266 FAQ e información suplementaria en el artículo de la base de conocimiento de ISC ubicado en https://kb.isc.org/docs/aa-00879.

Impacto:

La explotación intencional de esta condición puede causar una denegación de servicio en todos los servidores de nombres recursivos o de autoridad que ejecutan versiones afectadas de BIND 9 [todas las versiones de BIND 9.7, BIND 9.8.0 a 9.8.5b1 (inclusive) y BIND 9.9.0 a 9.9.3b1 (inclusive)]. Adicionalmente, otros servicios que comparten la misma máquina física o virtual con el servidor BIND afectado pueden quedar comprometidas por el agotamiento de memoria.

Otros programas que usan la librería libdns que acompaña a las versiones afectadas de BIND son también potencialmente vulnerables a la explotación de este defecto si se les puede forzar a recibir una entrada que dispare esta condición. Las herramientas que se enlacen con libdns (por ejemplo, dig) también deben ser recompiladas o actualizadas, aunque named no se esté usando.

Puntuación CVSS: 7.8

Ecuación CVSS: (AV:N/AC:L/Au:N/C:N/I:N/A:C)

Para mayor información con respecto al Sistema Común de Puntuación de Vulnerabilidades (CVSS) y para obtener su puntuación ambiental específica por favor visite:http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C).

Opciones de Mitigación:

Hay versiones que incorporan correcciones (vea la sección "Solución" más abajo). Alternativamente, los operadores pueden prevenir la explotación del defecto en cualquier versión de BIND 9 compilando sin soporte para expresiones regulares.

Compilación sin soporte para expresiones regulares:

Todas las versiones de BIND 9.7, BIND 9.8 (9.8.0 a 9.8.5b1) y BIND 9.9 (9.9.0 a 9.9.3b1) pueden protegerse completamente contra este defecto recompilando las fuentes con el soporte para expresiones regulares suprimido. Para suprimir el soporte de expresiones regulares:

• Después de configurar las características de BIND de la manera deseada usando el programa de configuración en el directorio principal de las fuentes, edite manualmente el archivo "config.h" producido por dicho programa.
• Busque la línea "#define HAVE_REGEX_H 1" y reemplácela por "#undef HAVE_REGEX_H".
• Ejecute "make clean" para remover archivos objeto de compilaciones anteriores de BIND 9 y proceda a instalar BIND normalmente.

Explotación Activa: ISC no tiene información sobre la explotación activa de este defecto.

Solución:

Compile BIND 9 sin incluir el soporte de expresiones regulares como se explicó en la sección "Opciones de Mitigación" de más arriba o actualice a la versión que contiene las correcciones más cercana a su versión actual de BIND. Puede descargarlas de https://www.isc.org/downloads/bind.

• BIND 9 versión 9.8.4-P2
• BIND 9 versión 9.9.2-P2

Reconocimientos: ISC desea agradecer a Matthew Horsfall de Dyn, Inc. por descubrir este defecto y comunicárnoslo.

Historia de Revisiones de Este Documento:

1.0 Fase 1 - Notificación Adelantada, 11 de marzo, 2013
1.1 Fases 2 y 3, 25 de marzo, 2013
2.0 Notificación al público (Fase 4), 26 de marzo, 2013

Documentos Relacionados:

Vea nuestra BIND 9 Security Vulnerability Matrix para una lista completa de vulnerabilidades de seguridad y las versiones afectadas.

Para más información sobre nuestros servicios de soporte, por favor visite https://www.isc.org/support.

¿Tiene alguna pregunta? Cualquier pregunta sobre este aviso debe ser enviada a security-officer@isc.org.

Note: ISC sólo produce actualizaciones para versiones actualmente soportadas. Cuando nos es posible, indicamos las versiones EOL que también están afectadas.

Política de Divulgación de Vulnerabilidades de Seguridad de ISC: Los detalles de nuestra política y prácticas para advertencias de seguridad se encuentran en ISC Software Defect and Security Vulnerability Disclosure Policy.

Este artículo en nuestra base de conocimiento https://kb.isc.org/docs/aa-00871 es la advertencia de seguridad oficial completa.

Aviso Legal:

Internet Systems Consortium (ISC) provee este aviso en forma “COMO ESTÁ”. No existen garantías de ningún tipo expresadas en este documento y no deben asumirse ninguna. ISC expresamente excluye y desconoce cualquier garantía con respecto a este aviso o materiales referidos por este aviso, incluyendo, sin limitación, cualquier garantía comerciable implícita, ajustada a un propósito particular, ausente de defectos ocultos, o de no cumplimiento. Su uso o dependencia sobre este aviso o materiales referidos en el es a su propio riesgo. ISC puede cambiar este aviso en cualquier momento.

Una copia por si sola, o parágrafo de texto de este documento que omite el URL de distribución en la sección a continuación es una copia no controlada. Copias no controladas pueden tener una carencia información importante, estar fuera de fecha, o contener errores de hecho.

Por favor refiérase a la versión en inglés para la versión oficial.