Knowledge Base ISC Main Website Ask a Question/Contact ISC
CVE-2012-3817 [ES]: Alta carga de validaciones DNSSEC puede causar una falla de aserción "Bad Cache" en BIND 9
Author: Michael McNally Reference Number: AA-00750 Views: 4520 Created: 2012-07-24 06:54 Last Updated: 2012-07-24 14:01 0 Rating/ Voters

Título: Alta carga de validaciones DNSSEC puede causar una falla de aserción "Bad Cache" en BIND 9

Resumen:

Una gran cantidad de consultas con validación DNSSEC habilitada puede causar una falla de aserción en named, causada por el uso de una estructura de datos antes de haber sido inicializada.

CVE: CVE-2012-3817
Versión del Documento: 2.0
Fecha de Publicación: 24 julio 2012
Programa Afectado: BIND 9
Versiones Afectadas: 9.6-ESV-R1 hasta 9.6-ESV-R7-P1; 9.7.1 hasta 9.7.6-P1; 9.8.0 hasta 9.8.3-P1; 9.9.0 hasta 9.9.1-P1
Severidad: Crítica
Explotable: Remotamente

Descripción:

BIND 9 almacena un cache de nombres para los que se detectó una falla por servidores de nombres mal configurados o una falla en la cadena de confianza. Con altas cantidades de consultas con validación DNSSEC activa, es posible que se presente una condición en la cual datos de este cache de consultas fallidas pueden ser usados antes de haber sido inicializados completamente, generando una falla de aserción.

Esta condición no se puede presentar a menos que su servidor esté haciendo validación DNSSEC.

Note: Las versiones 9.4 y 9.5 de BIND también están afectadas, pero esas versiones ya han excedido su tiempo de vida y no reciben pruebas o actualizaciones por parte de ISC. Para información actualizada sobre las versiones actualmente soportadas, vea http://www.isc.org/software/bind/versions

Puntuación CVSS: 7.8

Ecuación CVSS: (AV:N/AC:L/Au:N/C:N/I:N/A:C)

Para más información sobre el Sistema Común de Puntuación de Vulnerabilidades (CVSS) y para obtener una puntuación específica a su entorno, por favor visite: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C)

Opciones de Mitigación: Ninguna

Estado de Explotación: No hemos recibido reportes de la explotación pública de esta vulnerabilidad.

Solución: Actualice a la versión corregida más cercana a su versión actual de BIND.

Las nuevas versiones son:

  • BIND 9.6-ESV-R7-P2
  • BIND 9.7.6-P2
  • BIND 9.8.3-P2
  • BIND 9.9.1-P2

Descargue las versiones actuales de http://www.isc.org/downloads/all

Reconocimientos: ISC agradece a Einar Lonn de IIS.se

Historia de Revisiones del Documento:

1.0 - 11 julio 2012 Notificación Fase 1
1.1 - 17 julio 2012 Re-emisión de Fase 1 por cambio en actualización pra CVE-2012-3868 que afecta sólo a 9.9.x
1.2 - 23 julio 2012 Notificación Fases 2 y 3
2.0 - 24 julio 2012 Publicación Fase 4

Referencias:

- ¿Tiene alguna pregunta? Las preguntas sobre este anuncio pueden
  dirigirse a security-officer@isc.org.

- Política de Divulgación de Vulnerabilidades de Seguridad de ISC: Los
  detalles sobre nuestra política y prácticas sobre divulgación de
  vulnerabilidades de seguridad pueden encontrarse en:
  https://www.isc.org/security-vulnerability-disclosure-policy

Condiciones Legales:

Internet Systems Consortium (ISC) está suministrando este aviso "COMO ESTÁ". Este aviso no contiene y tampoco debe inferirse ninguna garantía de clase alguna. ISC excluye expresamente cualquier garantía sobre este aviso o los materiales a los que se refiere este aviso incluyendo, sin limitaciones, cualquier garantía inferida sobre la habilidad de transar comercialmente o de que el material sea apropiado para propósito alguno, ausencia de defectos ocultos o no-infringimiento. Su uso, o dependencia, sobre este aviso o los materiales a los que se refiere este aviso es a su propia cuenta y riesgo. ISC puede cambiar este aviso en cualquier momento. Los términos y definiciones oficiales son los que aparecen en la versión en inglés de este aviso. Las versiones en otros idiomas están sometidas a las condiciones de la publicación en inglés.

Una copia individual o parafraseo del texto de este documento que omita el URL de distribución en la sección que sigue es una copia no controlada. Las copias no controladas pueden estar incompletas, desactualizadas o contener errores.


© 2001-2017 Internet Systems Consortium

For assistance with problems and questions for which you have not been able to find an answer in our Knowledge Base, we recommend searching our community mailing list archives and/or posting your question there (you will need to register there first for your posts to be accepted). The bind-users and the dhcp-users lists particularly have a long-standing and active membership.

ISC relies on the financial support of the community to fund the development of its open source software products. If you would like to support future product evolution and maintenance as well having peace of mind knowing that our team of experts are poised to provide you with individual technical assistance whenever you call upon them, then please consider our Professional Subscription Support services - details can be found on our main website.

Feedback
  • There is no feedback for this article
Quick Jump Menu