CVE-2013-4854 [PT]: A specially crafted query can cause BIND to terminate abnormally
  • 06 Dec 2018
  • 3 Minutes to read
  • Contributors
  • Dark
    Light
  • PDF

CVE-2013-4854 [PT]: A specially crafted query can cause BIND to terminate abnormally

  • Dark
    Light
  • PDF

Article Summary

Uma pergunta especialmente construida enviada ao BIND pode provocar uma terminação anómala (crash)

CVE: CVE-2013-4854

Versão do documento: 2.0

Data de publicação: 26 Julho 2013

Programa afetado: BIND

Versões afetadas: Open source: 9.7.0->9.7.7, 9.8.0->9.8.5-P1, 9.9.0->9.9.3-P1, 9.8.6b1 and 9.9.4b1; Subscription: 9.9.3-S1 and 9.9.4-S1b1

Gravidade: Critica

Exploração: Remotamente

Descrição:

Uma pergunta especialmente construída que inclui rdata inválida pode provocar uma terminação anómala (crash) do named com uma falha de asserção ao rejeitar a pergunta.

O BIND 9.6-ESV não está afetado por este problema. As versões de BIND anteriores ao 9.6 pensa-se que não estão afetadas mas essas versões estão em "fim de vida" (EOL) e não são testadas e a ISC não gera soluções aos problemas de segurança dessas versões. O BIND 10 não está afetado.

Nota: Todas as versões de BIND 9.7 estão afetadas, mas essas versões estão em "fim de vida" (EOL) e não são testadas e a ISC não gera soluções aos problemas de segurança dessas versões.

Impacto:

Estão afetados tanto os servidores autoritativos como os recursivos. A utilização intencionada de esta falha pode provocar uma denegação de serviço em todos os servidores de nomes com as versões afetadas do BIND. As listas de controlo de acesso (ACL) não oferecem nenhuma proteção contra este problema.

Para além do servidor named, os programas que utilizam as livrarias das versões afetadas podem abortar com falhas de asserção pela mesma causa.

Valor CVSS: 7.8

Equação CVSS: (AV:N/AC:L/Au:N/C:N/I:N/A:C)

For more information on the Common Vulnerability Scoring System and to obtain your specific environmental score please visit:http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C).

Soluções alternativas: Não se conhecem soluções alternativas neste momento.

Exploits ativos: Crashes have been reported by multiple ISC customers. First observed in the wild on 26 July 2013.

Solução: Atualize para uma versão corrigida o mais parecida aquela que tem agora. As versões de Open Source podem ser obtidas em http://www.isc.org/downloads/bind. Os clientes com versões de subscrição serão contatados diretamente pela ISC.

  • BIND 9 version 9.8.5-P2
  • BIND 9 version 9.9.3-P2
  • BIND 9 version 9.9.3-S1-P1 (Subscription version available via DNSco)

Agradecimentos: A ISC gostaria de agradecer Maxim Shudrak e a HP ZDI por nos informar do problema.

Historia de Revisões do Documento:

1.0 Phase One Advance Notification, 18 July 2013
1.1 Phases Two and Three Advance Notification, 26 July 2013
2.0 Notification to public (Phase Four), 26 July 2013

Documentos Relacionados:

Veja a nossa BIND 9 Security Vulnerability Matrix para uma lista completa dos problemas de Segurança e versões afetadas.

Este artigo da base de dados de conhecimento https://kb.isc.org/article/AA-01016 dá informação adicional e uma FAQ sobre este anuncio.

Se quiser mais informação sobre os nossos serviços de suporte ou sobre as nossas versões de Subscrição do BIND, veja http://www.isc.org/support.

Ainda tem perguntas? As perguntas relacionadas com este anuncio devem ser encaminhadas para security-officer@isc.org. Se quiser informar de um problema novo, por favor cifre a sua mensagem com a chave PGP de security-officer@isc.org que pode ser encontrada aquí: * https://www.isc.org/downloads/software-support-policy/openpgp-key/. Se não for possível  usar correio electrónico cifrado também pode informar de novos problemas em: https://www.isc.org/mission/contact/.

Nota: A ISC só corrige as versões suportadas na atualidade (currently supported versions). Se possível indicamos que versões em fim de vida (EOL) estão afetadas.

Política de Informação de problemas de segurança da ISC: Os detalhes da nossa atual política de informação de problemas de segurança estão disponíveis aqui: ISC Software Defect and Security Vulnerability Disclosure Policy

Este artigo da base de dados de conhecimento https://kb.isc.org/article/AA-01015 é o documento completo e oficial da informação da falha de segurança.

Legal Disclaimer:

Internet Systems Consortium (ISC) is providing this notice on an "AS IS" basis. No warranty or guarantee of any kind is expressed in this notice and none should be implied. ISC expressly excludes and disclaims any warranties regarding this notice or materials referred to in this notice, including, without limitation, any implied warranty of merchantability, fitness for a particular purpose, absence of hidden defects, or of non-infringement. Your use or reliance on this notice or materials referred to in this notice is at your own risk. ISC may change this notice at any time.  A stand-alone copy or paraphrase of the text of this document that omits the document URL is an uncontrolled copy. Uncontrolled copies may lack important information, be out of date, or contain factual errors.