Knowledge Base ISC Main Website Ask a Question/Contact ISC
CVE-2012-5689 [PT]: BIND 9 com DNS64 habilitado pode terminar inesperadamente quando resolver domínios em RPZ
Author: Cathy Almond Reference Number: AA-00863 Views: 5113 Created: 2013-01-24 16:05 Last Updated: 2013-01-25 17:03 0 Rating/ Voters

A ISC tomou recentemente conhecimento da possibilidade de uma condição de erro no BIND 9 que pode causar que um servidor de nomes termine com uma falha de declaração quando o processamento tiver sido configurado para usar tanto DNS64 como Zonas resposta política (RPZ) ao mesmo tempo.

Versão de documento:    
2.0
Data de anuncio: 
24 Janeiro 2013
Programa afetado: 
BIND 9
Versões afetadas: 
9.8.0->9.8.4-P1, 9.9.0->9.9.2-P1
Gravidade: 
Baixa
Forma de Ataque: 
Remota 

Descrição:

Uma condição de erro pode ocorrer quando um servidor de nomes que está configurado para usar DNS64 executa uma pesquisa AAAA para um registro que também tem uma regra de rescritura para um registro A numa zona de Política de Resposta (RPZ.) Se o RPZ é incapaz de fornecer um registro AAAA para o nome, mas fornece um registro A rescrito, o código de processamento DNS64 tentará remapear esse registro A num registro AAAA. Devido a um erro de codificação, essa interação entre a base de dados RPZ e o código de remapeamento DNS64 pode causar a terminação do processo named com uma falha de declaração.


ISC acredita que o número de sistemas implantados que estão usando as regras de rescrita RPZ e também usam DNS64 é extremamente pequena, além disso, o problema tem uma solução fácil (veja abaixo). No entanto, a política de ISC exige a divulgação de qualquer possível vulnerabilidade do BIND 9, independentemente de quão raramente as condições para tal vulnerabilidade podem ocorrer em ambientes de produção. Assim, apesar da pontuação CVSS, avaliamos a gravidade como Baixa, e iremos integrar a correção ao problema na próxima versão beta das versões afetadas.


Não está planejada a publicação de patches independentes fora do processo normal para solucionar o problema, visto a solução ser simples e oferecer proteção completa.

Para evitar a exposição acidental de quem utiliza esses recursos em conjunto, as futuras versões do BIND 9 vão incluir código para evitar qualquer exploração deste bug, começando com versões beta programadas para ser lançadas em 24 de janeiro de 2013. No entanto, a solução sugerida é um remédio completo para aqueles que estão usando DNS64 em conjunto com RPZ, e é recomendada, de preferência á execução de código beta num ambiente de produção. Impact:

Only nameservers that are configured to use both DNS64 and Response Policy Zones, and which are maintaining A rewrite rules but not AAAA rewrite rules, will be affected by this problem - in other words, only systems that are using RPZ to rewrite DNS records into A records, then attempting to remap those same A records into AAAA via DNS64.  Systems that only use RPZ to generate NXDOMAIN or CNAME or NOERROR/NODATA responses, or to rewrite other resource record types besides A, will not trigger the bug.

CVSS Score:  7.8

CVSS Equation:  (AV:N/AC:L/Au:N/C:N/I:N/A:C)

Para mais informações sobre o Sistema Comum de Pontuação de Vulnerabilidade (CVSS) e obter sua pontuação ambiental específica visite: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C)

Solução alternativa:

Se usar DNS64 e zonas de política de resposta (RPZ) em conjunto, certifique-se de que a RPZ contém uma regra de reescrita AAAA para cada regra de reescrita A. Se o RPZ fornece uma resposta AAAA sem a assistência de DNS64, o bug não é acionado.

Exploits ativos:

Nenhum

Solução: Se você estiver executando uma das versões afetadas, você tem as seguintes opções:


  1. Utilizar a solução (veja acima).
  2. Esperar ao lançamento de versões de BIND que incluiam uma correção que evite a possivel exploração do bug.

Agradecimentos: ISC gostaria de agradecer Pories Ediansyah do Institut Teknologi Bandung por trazer este defeito a nossa atenção.

Document Revision History:

1.0 - 17 January 2013 Advance Notification to Phase One.
1.1 - 23 January 2013 Notification to Phase Two and Phase Three
2.0 - 24 January 2013 Notification to Phase Four (Public)

Documentos relacionados:

Veja a nossa Matriz de Segurança BIND (BIND Security Matrix) para uma lista completa das vulnerabilidades de segurança e versões afetadas. 

Se você quiser mais informações sobre o nosso Fórum ou suporte ao produto visite www.isc.org / software / guilda ou www.isc.org / support.

Você ainda tem dúvidas? Perguntas sobre este comunicado devem ir para security-officer@isc.org

Nota: A ISC só corrige versões suportadas atualmente: http://www.isc.org/software/bind/versions. Quando possível, indicamos versões EOL afetadas.

Política de Divulgação de vulnerabilidades de Segurança da ISC: Detalhes da nossa política e prática de segurança atual podem ser encontrados em: https://www.isc.org/security-vulnerability-disclosure-policy

Este artigo da Knowledge Base (https://kb.isc.org/article/AA-00855) é o documento descritivo completo e oficial. Há também um artigo resumo localizado em nosso site e ligando para aqui: https://www.isc.org/software/bind/advisories/cve-2012-5689.

Legal Disclaimer:
Internet Systems Consortium (ISC) is providing this notice on an "AS IS" basis. No warranty or guarantee of any kind is expressed in this notice and none should be implied. ISC expressly excludes and disclaims any warranties regarding this notice or materials referred to in this notice, including, without limitation, any implied warranty of merchantability, fitness for a particular purpose, absence of hidden defects, or of non-infringement. Your use or reliance on this notice or materials referred to in this notice is at your own risk. ISC may change this notice at any time.  A stand-alone copy or paraphrase of the text of this document that omits the document URL is an uncontrolled copy. Uncontrolled copies may lack important information, be out of date, or contain factual errors.


© 2001-2017 Internet Systems Consortium

For assistance with problems and questions for which you have not been able to find an answer in our Knowledge Base, we recommend searching our community mailing list archives and/or posting your question there (you will need to register there first for your posts to be accepted). The bind-users and the dhcp-users lists particularly have a long-standing and active membership.

ISC relies on the financial support of the community to fund the development of its open source software products. If you would like to support future product evolution and maintenance as well having peace of mind knowing that our team of experts are poised to provide you with individual technical assistance whenever you call upon them, then please consider our Professional Subscription Support services - details can be found on our main website.

Feedback
  • There is no feedback for this article
Quick Jump Menu