CVE-2012-5689 [PT]: BIND 9 com DNS64 habilitado pode terminar inesperadamente quando resolver domínios em RPZ
  • 07 Sep 2023
  • 4 Minutes to read
  • Contributors
  • Dark
    Light
  • PDF

CVE-2012-5689 [PT]: BIND 9 com DNS64 habilitado pode terminar inesperadamente quando resolver domínios em RPZ

  • Dark
    Light
  • PDF

Article Summary

A ISC tomou recentemente conhecimento da possibilidade de uma condição de erro no BIND 9 que pode causar que um servidor de nomes termine com uma falha de declaração quando o processamento tiver sido configurado para usar tanto DNS64 como Zonas resposta política (RPZ) ao mesmo tempo.

CVE: CVE-2012-5689

Versão de documento: 2.0

Data de anuncio: 24 Janeiro 2013

Programa afetado: BIND 9

Versões afetadas: 9.8.0->9.8.4-P1, 9.9.0->9.9.2-P1

Gravidade: Baixa

Forma de Ataque: Remota

Descrição:

Uma condição de erro pode ocorrer quando um servidor de nomes que está configurado para usar DNS64 executa uma pesquisa AAAA para um registro que também tem uma regra de rescritura para um registro A numa zona de Política de Resposta (RPZ.) Se o RPZ é incapaz de fornecer um registro AAAA para o nome, mas fornece um registro A rescrito, o código de processamento DNS64 tentará remapear esse registro A num registro AAAA. Devido a um erro de codificação, essa interação entre a base de dados RPZ e o código de remapeamento DNS64 pode causar a terminação do processo named com uma falha de declaração.

ISC acredita que o número de sistemas implantados que estão usando as regras de rescrita RPZ e também usam DNS64 é extremamente pequena, além disso, o problema tem uma solução fácil (veja abaixo). No entanto, a política de ISC exige a divulgação de qualquer possível vulnerabilidade do BIND 9, independentemente de quão raramente as condições para tal vulnerabilidade podem ocorrer em ambientes de produção. Assim, apesar da pontuação CVSS, avaliamos a gravidade como Baixa, e iremos integrar a correção ao problema na próxima versão beta das versões afetadas.

Não está planejada a publicação de patches independentes fora do processo normal para solucionar o problema, visto a solução ser simples e oferecer proteção completa.

Para evitar a exposição acidental de quem utiliza esses recursos em conjunto, as futuras versões do BIND 9 vão incluir código para evitar qualquer exploração deste bug, começando com versões beta programadas para ser lançadas em 24 de janeiro de 2013. No entanto, a solução sugerida é um remédio completo para aqueles que estão usando DNS64 em conjunto com RPZ, e é recomendada, de preferência á execução de código beta num ambiente de produção.

Impact: Only nameservers that are configured to use both DNS64 and Response Policy
Zones, and which are maintaining A rewrite rules but not AAAA rewrite rules, will be affected by this problem - in other words, only systems that are using RPZ to rewrite DNS records into A records, then attempting to remap those same A records into AAAA via DNS64. Systems that only use RPZ to generate NXDOMAIN or CNAME or NOERROR/NODATA responses, or to rewrite other resource record types besides A, will not trigger the bug.

CVSS Score: 7.8

CVSS Equation: (AV:N/AC:L/Au:N/C:N/I:N/A:C)

Para mais informações sobre o Sistema Comum de Pontuação de Vulnerabilidade (CVSS) e obter sua pontuação ambiental específica visite: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C).

Solução alternativa:

Se usar DNS64 e zonas de política de resposta (RPZ) em conjunto, certifique-se de que a RPZ contém uma regra de reescrita AAAA para cada regra de reescrita A. Se o RPZ fornece uma resposta AAAA sem a assistência de DNS64, o bug não é acionado.

Exploits ativos: Nenhum

Solução: Se você estiver executando uma das versões afetadas, você tem as seguintes opções:

  1. Utilizar a solução (veja acima).
  2. Esperar ao lançamento de versões de BIND que incluiam uma correção que evite a possivel exploração do bug.

Agradecimentos: ISC gostaria de agradecer Pories Ediansyah do Institut Teknologi Bandung por trazer este defeito a nossa atenção.

Document Revision History:

1.0 - Advance Notification to Phase One, 17 January 2013

1.1 - Notification to Phase Two and Phase Three, 23 January 2013

2.0 - Notification to Phase Four (Public), 24 January 2013

Documentos relacionados:

Veja a nossa Matriz de Segurança BIND (BIND 9 Security Vulnerability Matrix) para uma lista completa das vulnerabilidades de segurança e versões afetadas.

Se você quiser mais informações sobre o nosso Fórum ou suporte ao produto visite https://www.isc.org/support.

Você ainda tem dúvidas? Perguntas sobre este comunicado devem ir para security-officer@isc.org.

Nota: A ISC só corrige versões suportadas atualmente: https://www.isc.org/downloads/bind. Quando possível, indicamos versões EOL afetadas.

Política de Divulgação de vulnerabilidades de Segurança da ISC: Detalhes da nossa política e prática de segurança atual podem ser encontrados em: https://kb.isc.org/docs/aa-00861.

Este artigo da Knowledgebase (https://kb.isc.org/docs/aa-00855) é o documento descritivo completo e oficial. Há também um artigo resumo localizado em nosso site e ligando para aqui: https://kb.isc.org/docs/aa-00855.

Legal Disclaimer:
Internet Systems Consortium (ISC) is providing this notice on an "AS IS" basis. No warranty or guarantee of any kind is expressed in this notice and none should be implied. ISC expressly excludes and disclaims any warranties regarding this notice or materials referred to in this
notice, including, without limitation, any implied warranty of merchantability, fitness for a particular purpose, absence of hidden defects, or of non-infringement. Your use or reliance on this notice or materials referred to in this notice is at your own risk. ISC may change this notice at any time.  A stand-alone copy or paraphrase of the text of this document that omits the document URL is an uncontrolled copy. Uncontrolled copies may lack important information, be out of date, or
contain factual errors.