Knowledge Base ISC Main Website Ask a Question/Contact ISC
CVE-2013-2266 [PT]: A Maliciously Crafted Regular Expression Can Cause Memory Exhaustion in named
Author: Cathy Almond Reference Number: AA-00884 Views: 1580 Created: 2013-03-18 16:44 Last Updated: 2013-03-26 15:53 0 Rating/ Voters

Um error crítico no BIND 9 permite a um atacante provocar utilização excessiva de memória pelo named/BIND ou outros programas que utilizem a libdns.

Versão de 
Documento
:        
 2.0
Data de publicação: 
26 Março 2013
Programa afetado: 
BIND
Versões afetadas: 
Versões para "Unix"  de  BIND 9.7.x, 9.8.0 -> 9.8.5b1, 9.9.0 -> 9.9.3b1.  (As versões para Windows não estão afetadas. As versões de BIND 9 anteriores ao BIND 9.7.0 (incluindo a BIND 9.6-ESV) não estão afetadas.  BIND 10 não está afetado.)
Gravidade: 

Critico

Explorável: 
Em remoto.

Descrição:

Uma falha numa biblioteca usada pelo BIND 9.7, 9.8 e 9.9, quando compilado em sistemas operativos Unix e afins, permite que um atacante possa deliberadamente causar um consumo excessivo de memória pelo processo named, potencialmente resultando em esgotamento dos recursos de memória no servidor afetado. Esta condição pode provocar o falho do BIND 9 e provavelmente vai afetar gravemente o funcionamento de outros programas em execução na mesma máquina.

Observação: As versões do BIND 9.7 estão para além do seu "fim da vida" (EOL) e não recebem mais correções de segurança pelo ISC. No entanto, o método de compilação do descrito na secção "Soluções alternativas" deste documento irá impedir a exploração em BIND 9.7, bem como nas versões suportadas atualmente.

Para informações atualizadas sobre quais as versões activamente suportadas pelo ISC, consulte http://www.isc.org/software/bind/versions.

Informações adicionais estão disponíveis no FAQ CVE-2013-2266 e no artigo "Informações adicionais" na base de conhecimento ISC, https://kb.isc.org/article/AA-00879.

Impacto:

A exploração intencional de esta condição pode causar negação de serviço em todos os nameservers autoritários e recursivos executando versões afetadas do BIND 9 [todas as versões do BIND 9.7, BIND 9.8.0 através 9.8.5b1 (inclusive) e BIND 9.9.0 através BIND 9.9.3b1 (inclusive)]. Além disso, outros serviços que funcionam na mesma máquina física afetada poderia ser comprometidos através de esgotamento de memória do sistema.

Programas que usam a biblioteca libdns das versões afetadas do BIND também são potencialmente vulneráveis à exploração do bug se eles podem ser forçados a aceitar a entrada que desencadeia o problema. Ferramentas que estão ligadas contra libdns (por exemplo DIG) também deve ser reconstruídas ou atualizadas, mesmo que o named/BIND não esteja sendo utilizado.

CVSS Score:  7.8

CVSS Equation:  (AV:N/AC:L/Au:N/C:N/I:N/A:C)

É possível obter mais informação sobre o Common Vulnerability Scoring System e a sua própria avaliação em: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C)

Soluções alternativas:

Versões corrigidas estão disponíveis (ver "Soluções:" abaixo). Os operadores podem impedir a exploração do bug em qualquer versão afetada do BIND 9 compilando sem suporte de expressões regulares.
Compilação sem suporte para expressões regulares:

BIND 9.7 (todas as versões), o BIND 9.8 (9.8.0 até 9.8.5b1), e BIND 9.9 (9.9.0 até 9.9.3b1) pode ser feito completamente seguro respeito deste erro recompilando a fonte com suporte para expressões regulares desativado.
Para desativar a inclusão de suporte para expressões regulares:
Depois de configurar o BIND como desejado usando o script de configuração no diretório de nível superior, editar manualmente o arquivo de cabeçalho (header) "config.h"  que foi produzido pelo script configure.
Localize a linha que lê "#define HAVE_REGEX_H 1" e substituía o conteúdo dessa linha com "#undef HAVE_REGEX_H".
Executar "make clean" para remover todos os arquivos objeto compilados anteriormente do diretório de origem BIND 9, em seguida, continuar a compilar e instalar o BIND normalmente.


ataques ativos:

Não há neste momento nenhum ataque ativo conhecido.

Solução: 

Compile o BIND 9 sem suporte para expressões regulares tal como se descreve na secção "Soluções alternativas" de este aviso ou atualize a uma versão corrigida. Estas estão disponíveisem http://www.isc.org/downloads/all.

  • BIND 9 versão 9.8.4-P2
  • BIND 9 versão 9.9.2-P2

Agradecimentos: ISC gostaria de agradecer Matthew Horsfall de Dyn, Inc. por ter descoberto este bug e chamar a atenção da ISC.

Document Revision History:

1.0 Phase One - Advance Notification, 11 March 2013

1.1 Phase Two & Three, 25 March 2013

2.0 Notification to Public (Phase Four), 26 March 2013

Related Documents:

Veja o BIND Security Matrix para uma lista completa das Security Vulnerabilities e versões afetadas.

Se quiser obter mais informação sobre os nossos serviços de  suporte visite www.isc.org/support.

Tem mais perguntas?  As perguntas sobre este aviso devem ser enviadas a security-officer@isc.org

Nota: ISC só corrige as versões atualmente suportadas. Quanto possível indicamos as versões EOL que também estejam afetadas.

ISC Security Vulnerability Disclosure Policy:  Details of our current security advisory policy and practice can be found here: https://www.isc.org/security-vulnerability-disclosure-policy

O artigo  https://kb.isc.org/article/AA-00871 é o documento completo e oficial  so aviso de segurança.

Legal Disclaimer: 

Internet Systems Consortium (ISC) is providing this notice on an "AS IS" basis. No warranty or guarantee of any kind is expressed in this notice and none should be implied. ISC expressly excludes and disclaims any warranties regarding this notice or materials referred to in this notice, including, without limitation, any implied warranty of merchantability, fitness for a particular purpose, absence of hidden defects, or of non-infringement. Your use or reliance on this notice or materials referred to in this notice is at your own risk. ISC may change this notice at any time.  A stand-alone copy or paraphrase of the text of this document that omits the document URL is an uncontrolled copy. Uncontrolled copies may lack important information, be out of date, or contain factual errors.

© 2001-2014 Internet Systems Consortium

Feedback
  • Please help us to improve the content of our knowledge base by letting us know how we can improve this article or by submitting suggestions for other articles you'd like to see created. Information on how to obtain further help on our products or services can be found on our main website.' If you have a technical question or problem on which you'd like help, we recommend searching our community mailing list archives and/or posting your question there (you will need to register there first for your posts to be accepted). The bind-users and the dhcp-users lists particularly have a long-standing and active membership.
Info Submit Feedback on this Article
Nickname: Your Email: Subject: Comment:
Enter the code below:
Quick Jump Menu