Knowledge Base ISC Main Website Ask a Question/Contact ISC
CVE-2012-5689 [ES]: BIND 9 con DNS64 habilitado puede terminar inesperadamente resolviendo dominios en RPZ
Author: Michael McNally Reference Number: AA-00859 Views: 277030 Created: 2013-01-18 16:43 Last Updated: 2013-01-30 08:29 0 Rating/ Voters

ISC ha obtenido información sobre el potencial para una condición de error en BIND 9 que puede causar que un servidor de nombres aborte con una falla de aserción al procesar consultas si este ha sido configurado para usar DNS64 y Response Policy Zones (RPZ).

Versión del Documento:          
2.0
Fecha de Publicación: 
24 enero 2013
Programas Afectados: 
BIND 9
Versiones Afectadas: 
9.8.0->9.8.4-P1, 9.9.0->9.9.2-P1
Severidad: 
Baja 
Explotable: 
Remotamente 

Descripción:

Se puede presentar una condición de error cuando un servidor de nombres configurado para usar DNS64 ejecuta una consulta AAAA para un registro que tiene una regla de reescritura A en una Zona de Política de Respuesta (RPZ). Si la RPZ no puede suministrar un registro AAAA para el nombre pero ofrece un registro A reescrito, entonces el código que procesa DNS64 intentará asociar el registro A en un nuevo registro AAAA. Debido a un error de programación, esta interacción entre la base de datos de RPZ y el código de reasociación de DNS64 puede causar que el proceso named termine con una falla de aserción.

ISC cree que el número de sistemas activos que han sido configurados para usar simultáneamente DNS64 y reglas de reescritura RPZ es extremadamente pequeño. Más aun, el problema tiene una solución sencilla (ver más abajo). Sin embargo, la política de ISC requiere la publicación de cualquier vulnerabilidad en BIND 9 sin importar la dificultad de que las condiciones requeridas se presenten en ambientes de producción. Por tanto, a pesar del puntaje CVSS, hemos asignado una severidad Baja e integraremos la corrección en la siguiente distribución beta de las versiones afectadas. No están planificado producir versiones con parches porque las contramedidas son sencillas y ofrecen protección total.

Para prevenir la exposición accidental a aquellos que emplean estas características simultáneamente, futuras versiones de BIND 9 incluirán código para prevenir la explotación de este defecto, comenzando con las versiones beta programadas para su distribución a partir del 24 de enero del 2013. Sin embargo, la contramedida que sugerimos en este documento es un remedio completo para quienes usan DNS64 y RPZ simultáneamente. Esta es nuestra recomendación más que emplear código beta en ambientes de producción.

Impacto:

Sólamente aquellos servidores de nombres que han sido configurados para usar DNS64 y Zonas de Política de Respuesta simultáneamente y que tienen configuradas reglas de reescritura para registros A pero no para registros AAAA pueden ser afectados por este problema, Esto es, sólo aquellos sistemas que usan RPZ para reescribir registros DNS a registros A y luego intentan reasociar esos mismos registros A con registros AAAA usando DNS64 están afectados. Los sistemas que sólo usan RPZ para generar respuestas NXDOMAIN, CNAME o NOERROR/NODATA o que reescriben otros tipos de registros aparte de A, no están afectados por este defecto.

Puntuación CVSS:  7.8

Ecuación CVSS:  (AV:N/AC:L/Au:N/C:N/I:N/A:C)

Para más información sobre el Sistema Común de Puntuación de Vulnerabilidades (CVSS) y para obtener una puntuación específica a su entorno, por favor visitehttp://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C)

Contramedidas:

Si está usando DNS64 y RPZ simultáneamente, asegúrese de que la zona RPZ contiene una regla de reescritura para AAAA por cada regla de reescritura para A. Si RPZ provee una respuesta AAAA sin asistencia de DNS64, este defecto no se activa.

Explotación Activa:

No se sabe de ninguna actividad de explotación.

Solución:  Si está usando actualmente una de las versiones afectadas, tiene dos opciones:
  1. Use la contramedida explicada más arriba.
  2. Espere por la publicación de paquetes de BIND que incluyan la corrección para impedir la posible explotación de este defecto.

Reconocimientos: ISC extiende su agradecimiento a Pories Ediansyah del Institut Teknologi Bandung por llamar nuestra atención sobre este defecto.

Historia de Revisiones del Documento:

1.0 - 17 enero 2013 Notificación a Fase 1.
1.1 - 23 enero 2013 Notificación a Fases 2 y 3.
2.0 - 24 enero 2013 Notificación a Fase 4 (Público)

Documentos Relacionados:

Vea nuestra BIND Security Matrix (Matriz de Seguridad de BIND) para un listado completo de las vulnerabilidades de seguridad y las versiones afectadas.

Para más información sobre nuestro Forum o el soporte a nuestros productos, por favor visite www.isc.org/software/guild y www.isc.org/support.

¿Tiene más preguntas?  Las preguntas sobre esta notificación deben dirigirse a security-officer@isc.org

Política de Divulgación de Vulnerabilidades de Seguridad de ISC:  Los detalles de nuestra política y prácticas de divulgación de notificaciones de seguridad se pueden encontrar en https://www.isc.org/security-vulnerability-disclosure-policy

El artículo https://kb.isc.org/article/AA-00855 en nuestra Base de Conocimiento es el documento completo y oficial de notificación de seguridad. También existe un artículo que lo resume, ubicado en nuestro sitio web, que se encuentra en el enlace https://www.isc.org/software/bind/advisories/cve-2012-5689

Condiciones Legales:

Internet Systems Consortium (ISC) está suministrando este aviso "COMO ESTÁ". Este aviso no contiene y tampoco debe inferirse ninguna garantía de clase alguna. ISC excluye expresamente cualquier garantía sobre este aviso o los materiales a los que se refiere este aviso incluyendo, sin limitaciones, cualquier garantía inferida sobre la habilidad de transar comercialmente o de que el material sea apropiado para propósito alguno, ausencia de defectos ocultos o no-infringimiento. Su uso, o dependencia, sobre este aviso o los materiales a los que se refiere este aviso es a su propia cuenta y riesgo. ISC puede cambiar este aviso en cualquier momento. Los términos y definiciones oficiales son los que aparecen en la versión en inglés de este aviso. Las versiones en otros idiomas están sometidas a las condiciones de la publicación en inglés. 

Una copia individual o parafraseo del texto de este documento que omita el URL de distribución en la sección que sigue es una copia no controlada. Las copias no controladas pueden estar incompletas, desactualizadas o contener errores.



© 2001-2017 Internet Systems Consortium

For assistance with problems and questions for which you have not been able to find an answer in our Knowledge Base, we recommend searching our community mailing list archives and/or posting your question there (you will need to register there first for your posts to be accepted). The bind-users and the dhcp-users lists particularly have a long-standing and active membership.

ISC relies on the financial support of the community to fund the development of its open source software products. If you would like to support future product evolution and maintenance as well having peace of mind knowing that our team of experts are poised to provide you with individual technical assistance whenever you call upon them, then please consider our Professional Subscription Support services - details can be found on our main website.

Feedback
  • There is no feedback for this article
Quick Jump Menu