CVE-2013-2266 [PT]: A Maliciously Crafted Regular Expression Can Cause Memory Exhaustion in named

Um error crítico no BIND 9 permite a um atacante provocar utilização excessiva de memória pelo named/BIND ou outros programas que utilizem a libdns.

CVE: CVE-2013-2266

Versão de documento: 2.0

Data de publicação: 26 Março 2013

Programa afetado: BIND

Versões afetadas: Versões para "Unix" de  BIND 9.7.x, 9.8.0 -> 9.8.5b1, 9.9.0 -> 9.9.3b1. (As versões para Windows não estão afetadas. As versões de BIND 9 anteriores ao BIND 9.7.0 (incluindo a BIND 9.6-ESV) não estão afetadas. BIND 10 não está afetado.)

Gravidade: Critico

Explorável: Em remoto.

Descrição:

Uma falha numa biblioteca usada pelo BIND 9.7, 9.8 e 9.9, quando compilado em sistemas operativos Unix e afins, permite que um atacante possa deliberadamente causar um consumo excessivo de memória pelo processo named, potencialmente resultando em esgotamento dos recursos de memória no servidor afetado. Esta condição pode provocar o falho do BIND 9 e provavelmente vai afetar gravemente o funcionamento de outros programas em execução na mesma máquina.

Observação: As versões do BIND 9.7 estão para além do seu "fim da vida" (EOL) e não recebem mais correções de segurança pelo ISC. No entanto, o método de compilação do descrito na secção "Soluções alternativas" deste documento irá impedir a exploração em BIND 9.7, bem como nas versões suportadas atualmente.

Informações adicionais estão disponíveis no FAQ CVE-2013-2266 e no artigo "Informações adicionais" na base de conhecimento ISC, https://kb.isc.org/docs/aa-00879.

Impacto:

A exploração intencional de esta condição pode causar negação de serviço em todos os nameservers autoritários e recursivos executando versões afetadas do BIND 9 [todas as versões do BIND 9.7, BIND 9.8.0 através 9.8.5b1 (inclusive) e BIND 9.9.0 através BIND 9.9.3b1 (inclusive)]. Além disso, outros serviços que funcionam na mesma máquina física afetada poderia ser comprometidos através de esgotamento de memória do sistema.

Programas que usam a biblioteca libdns das versões afetadas do BIND também são potencialmente vulneráveis à exploração do bug se eles podem ser forçados a aceitar a entrada que desencadeia o problema. Ferramentas que estão ligadas contra libdns (por exemplo DIG) também deve ser reconstruídas ou atualizadas, mesmo que o named/BIND não esteja sendo utilizado.

CVSS Score: 7.8

CVSS Equation: (AV:N/AC:L/Au:N/C:N/I:N/A:C)

É possível obter mais informação sobre o Common Vulnerability Scoring System e a sua própria avaliação em: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C).

Soluções alternativas:

Versões corrigidas estão disponíveis (ver "Soluções:" abaixo). Os operadores podem impedir a exploração do bug em qualquer versão afetada doBIND 9 compilando sem suporte de expressões regulares.

Compilação sem suporte para expressões regulares:

BIND 9.7 (todas as versões), o BIND 9.8 (9.8.0 até 9.8.5b1), e BIND 9.9 (9.9.0 até 9.9.3b1) pode ser feito completamente seguro respeito deste erro recompilando a fonte com suporte para expressões regulares desativado.

Para desativar a inclusão de suporte para expressões regulares:

• Depois de configurar o BIND como desejado usando o script de configuração no diretório de nível superior, editar manualmente o arquivo de cabeçalho (header) "config.h"  que foi produzido pelo script configure.
• Localize a linha que lê "#define HAVE_REGEX_H 1" e substituía o conteúdo dessa linha com "#undef HAVE_REGEX_H".
• Executar "make clean" para remover todos os arquivos objeto compilados anteriormente do diretório de origem BIND 9, em seguida, continuar a compilar e instalar o BIND normalmente.

Ataques ativos: Não há neste momento nenhum ataque ativo conhecido.

Solução:

Compile o BIND 9 sem suporte para expressões regulares tal como se descreve na secção "Soluções alternativas" de este aviso ou atualize a uma versão corrigida. Estas estão disponíveisem https://www.isc.org/downloads/bind.

• BIND 9 versão 9.8.4-P2
• BIND 9 versão 9.9.2-P2

Agradecimentos: ISC gostaria de agradecer Matthew Horsfall de Dyn, Inc. por ter descoberto este bug e chamar a atenção da ISC.

Document Revision History:

1.0 Phase One - Advance Notification, 11 March 2013
1.1 Phase Two & Three, 25 March 2013
2.0 Notification to Public (Phase Four), 26 March 2013

Related Documents:

Veja o BIND 9 Security Vulnerability Matrix para uma lista completa das Security Vulnerabilities e versões afetadas.

Se quiser obter mais informação sobre os nossos serviços de  suporte visite https://www.isc.org/support.

Tem mais perguntas? As perguntas sobre este aviso devem ser enviadas a security-officer@isc.org.

Nota: ISC só corrige as versões atualmente suportadas. Quanto possível indicamos as versões EOL que também estejam afetadas.

ISC Security Vulnerability Disclosure Policy: Details of our current security advisory policy and practice can be found here: ISC Software Defect and Security Vulnerability Disclosure Policy

O artigo  https://kb.isc.org/docs/aa-00871 é o documento completo e oficial  so aviso de segurança.

Legal Disclaimer:

Internet Systems Consortium (ISC) is providing this notice on an "AS IS" basis. No warranty or guarantee of any kind is expressed in this notice and none should be implied. ISC expressly excludes and disclaims any warranties regarding this notice or materials referred to in this
notice, including, without limitation, any implied warranty of merchantability, fitness for a particular purpose, absence of hidden defects, or of non-infringement. Your use or reliance on this notice or materials referred to in this notice is at your own risk. ISC may change this notice at any time.  A stand-alone copy or paraphrase of the text of this document that omits the document URL is an uncontrolled copy. Uncontrolled copies may lack important information, be out of date, or
contain factual errors.