Knowledge Base ISC Main Website Ask a Question/Contact ISC
CVE-2012-5688 [ES]: Servidores BIND 9 usando DNS64 pueden ser detenidos por consultas construidas particularmente
Author: Michael McNally Reference Number: AA-00834 Views: 5199 Created: 2012-11-28 23:21 Last Updated: 2012-12-04 18:57 0 Rating/ Voters

Una consulta específica puede causar que servidores de nombre BIND que usan DNS64 se detengan con una falla de aserción REQUIRE.

Versión del Documento:  2.0
Fecha de publicación: 
04 Dec 2012
Programa afectado: 
BIND
Versiones afectadas: 
9.8.0->9.8.4, 9.9.0->9.9.2
Severidad: 
Crítica
Explotable: 
Remotamente

Descripción:

Los servidores de nombres BIND9 que usan el mecanismo de transición a IPv6 denominado DNS64 son vulnerables a un defecto de software que permite que una consulta especialmente preparada los detenga abruptamente con una falla de aserción REQUIRE. La explotación remota de este defecto se puede lograr sin esfuerzos mayores, lo que resulta en un vector de negación de servicio (DoS) contra los servidores afectados.

El soporte para DNS64 se incorporó a BIND a partir de la versión 9.8.0 por tanto las versiones de BIND 9 previas a 9.8.0 no pueden ser afectadas por esta condición. Adicionalmente, servidores BIND en versiones 9.8.0 o superiores sólo pueden verse afectadas si se ha activado DNS64 usando el comando de configuración "dns64". Si DNS64 no está en uso, no hay riesgo en cuanto a esta vulnerabilidad.

Para información actualizada sobre qué versiones estan siendo activamente soportadas, vea http://www.isc.org/software/bind/versions 

Impacto:

Cualquier servidor BIND 9 configurado para usar DNS64 es vulnerable a este defecto y puede ser detenido por cualquier cliente del cual acepte consultas.

Puntuación CVSS:  7.8

Ecuación CVSS:  (AV:N/AC:L/Au:N/C:N/I:N/A:C)

Para más información sobre el Sistema Común de Puntuación de Vulnerabilidades (CVSS) y para obtener una puntuación específica a su entorno, por favor visitehttp://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C)

Opciones de Mitigación:

Sólo son vulnerables los servidores BIND 9 que están configurados para usar DNS64. En esos servidores, bloquear las consultas desde clientes desconocidos (lo cual es una buena práctica en cualquier caso) reduce ligeramente la exposición del servidor. No existen opciones de mitigación que protejan completamente contra la explotación de este defecto. Si está usando DNS64, desactívelo o actualice su versión de BIND.

Only BIND 9 servers which are configured to use DNS64 are vulnerable.  For those servers, disallowing queries from untrusted clients (a recommended practice in any case) will slightly mitigate a server's exposure, but no workarounds are available which will completely protect an affected server against exploitation of this bug.  If you are using DNS64 either disable it or upgrade to a fixed version.

Explotación Activa: 

No se sabe de ninguna actividad de explotación.

Solución:  Actualice su versión de BIND a la última actualización que más se aproxime a su versión actual. Puede descargarlas de http://www.isc.org/downloads/all.

  • BIND 9 versión 9.8.4-P1
  • BIND 9 versión 9.9.2-P1

Reconocimientos:  ISC desea agradecer a BlueCat Networks por reportarnos este defecto.

Historia de Revisiones de Este documento:

1.0 - 27 noviembre 2012 Notificación adelantada a Fase Uno
1.1 - 03 diciembre 2012 Notificaciones a Fases Dos y Tres
2.0 - 04 diciembre 2012 Notificación a Fase Cuatro (Pública)

Documentos Relacionados:

Vea nuestra BIND Security Matrix (Matriz de Seguridad de BIND) para un listado completo de las vulnerabilidades de seguridad y las versiones afectadas.

Para más información sobre nuestro Forum o el soporte a nuestros productos, por favor visite www.isc.org/software/guild y www.isc.org/support.

¿Tiene más preguntas?  Las preguntas sobre esta notificación deben dirigirse a security-officer@isc.org

Política de Divulgación de Vulnerabilidades de Seguridad de ISC:  Los detalles de nuestra política y prácticas de divulgación de notificaciones de seguridad se pueden encontrar en https://www.isc.org/security-vulnerability-disclosure-policy

El artículo https://kb.isc.org/article/AA-00828 en nuestra Base de Conocimiento es el documento completo y oficial de notificación de seguridad. También existe un artículo que lo resume, ubicado en nuestro sitio web, que se encuentra en el enlace https://www.isc.org/software/bind/advisories/cve-2012-5688

Condiciones Legales: 

Internet Systems Consortium (ISC) está suministrando este aviso "COMO ESTÁ". Este aviso no contiene y tampoco debe inferirse ninguna garantía de clase alguna. ISC excluye expresamente cualquier garantía sobre este aviso o los materiales a los que se refiere este aviso incluyendo, sin limitaciones, cualquier garantía inferida sobre la habilidad de transar comercialmente o de que el material sea apropiado para propósito alguno, ausencia de defectos ocultos o no-infringimiento. Su uso, o dependencia, sobre este aviso o los materiales a los que se refiere este aviso es a su propia cuenta y riesgo. ISC puede cambiar este aviso en cualquier momento. Los términos y definiciones oficiales son los que aparecen en la versión en inglés de este aviso. Las versiones en otros idiomas están sometidas a las condiciones de la publicación en inglés. 

Una copia individual o parafraseo del texto de este documento que omita el URL de distribución en la sección que sigue es una copia no controlada. Las copias no controladas pueden estar incompletas, desactualizadas o contener errores.


© 2001-2017 Internet Systems Consortium

For assistance with problems and questions for which you have not been able to find an answer in our Knowledge Base, we recommend searching our community mailing list archives and/or posting your question there (you will need to register there first for your posts to be accepted). The bind-users and the dhcp-users lists particularly have a long-standing and active membership.

ISC relies on the financial support of the community to fund the development of its open source software products. If you would like to support future product evolution and maintenance as well having peace of mind knowing that our team of experts are poised to provide you with individual technical assistance whenever you call upon them, then please consider our Professional Subscription Support services - details can be found on our main website.

Feedback
  • There is no feedback for this article
Quick Jump Menu