Knowledge Base ISC Main Website Ask a Question/Contact ISC
CVE-2012-3571 [ES]: Un error en el manejo de identificadores de cliente inesperados puede causar la caída del servidor mientras se sirve DHCPv6
Author: Michael McNally Reference Number: AA-00747 Views: 3797 Created: 2012-07-24 05:46 Last Updated: 2012-07-24 12:21 0 Rating/ Voters

Título: Un error en el manejo de identificadores de cliente inesperados puede causar la caída del servidor mientras se sirve DHCPv6

CVE:  CVE-2012-3571
Versión del Documento: 2.0
Fecha de Publicación: 24 julio 2012
Programa Afectado: ISC DHCP
Versiones Afectadas: 4.2.x (Todas las versiones)
Severidad: Alta
Explotable: Desde redes adyacentes.

Descripción:

Un parámetro identificador de cliente inesperado puede causar que el servicio ISC DHCP en modo DHCPv6 termine con un fallo de segmentación, resultado en una negación de servicio a futuras solicitudes de cliente. Para explotar esta condición, el atacante debe poder enviar solicitudes al servidor DHCP.

Impacto:

Causa que el proceso servidor aborte cuando se excede un buffer, desencadenando una negación de servicio. NOTA: Las versiones de ISC-DHCP entre 4.0 y 4.1.x no están afectadas.

Puntuación CVSS: 6.1

Ecuación CVSS: (AV:A/AC:L/Au:N/C:N/I:N/A:C)

Para más información sobre el Sistema Común de Puntuación de Vulnerabilidades (CVSS) y para obtener una puntuación específica a su entorno, por favor visite: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:A/AC:L/Au:N/C:N/I:N/A:C)

Opciones de Mitigación: Ninguna

Estado de Explotación: No hemos recibido reportes de la explotación pública de esta vulnerabilidad.

Solución: Actualice los sistemas afectados a ISC DHCP 4.2.4-P1. Descárguelas de http://www.isc.org/downloads/all

Reconocimientos: Markus Hietava del Projecto  Codenomicon CROSS por el hallazgo y CERT-FI por la coordinación del manejo de la vulnerabilidad.

Historia de Revisiones del Documento:

1.0 - 3 julio 2012 Notificación Fase 1
1.1 - 13 julio 2012 Nota de demora enviada a Fase 1 relativa a la adición de un nuevo CVE y nueva fecha de publicación
1.2 - 23 julio 2012 Notificación Fases 2 y 3
2.0 - 24 julio 2012 Publicación Fase 4

Referencias:

- ¿Tiene alguna pregunta? Las preguntas sobre este anuncio pueden
  dirigirse a security-officer@isc.org.

- Política de Divulgación de Vulnerabilidades de Seguridad de ISC: Los
  detalles sobre nuestra política y prácticas sobre divulgación de
  vulnerabilidades de seguridad pueden encontrarse en:
  https://www.isc.org/security-vulnerability-disclosure-policy

Condiciones Legales:

Internet Systems Consortium (ISC) está suministrando este aviso "COMO ESTÁ". Este aviso no contiene y tampoco debe inferirse ninguna garantía de clase alguna. ISC excluye expresamente cualquier garantía sobre este aviso o los materiales a los que se refiere este aviso incluyendo, sin limitaciones, cualquier garantía inferida sobre la habilidad de transar comercialmente o de que el material sea apropiado para propósito alguno, ausencia de defectos ocultos o no-infringimiento. Su uso, o dependencia, sobre este aviso o los materiales a los que se refiere este aviso es a su propia cuenta y riesgo. ISC puede cambiar este aviso en cualquier momento. Los términos y definiciones oficiales son los que aparecen en la versión en inglés de este aviso. Las versiones en otros idiomas están sometidas a las condiciones de la publicación en inglés.

Una copia individual o parafraseo del texto de este documento que omita el URL de distribución en la sección que sigue es una copia no controlada. Las copias no controladas pueden estar incompletas, desactualizadas o contener errores.



© 2001-2017 Internet Systems Consortium

For assistance with problems and questions for which you have not been able to find an answer in our Knowledge Base, we recommend searching our community mailing list archives and/or posting your question there (you will need to register there first for your posts to be accepted). The bind-users and the dhcp-users lists particularly have a long-standing and active membership.

ISC relies on the financial support of the community to fund the development of its open source software products. If you would like to support future product evolution and maintenance as well having peace of mind knowing that our team of experts are poised to provide you with individual technical assistance whenever you call upon them, then please consider our Professional Subscription Support services - details can be found on our main website.

Feedback
  • There is no feedback for this article
Quick Jump Menu