Knowledge Base ISC Main Website Ask a Question/Contact ISC
CVE-2013-4854 [PT]: A specially crafted query can cause BIND to terminate abnormally
Author: ISC Support Reference Number: AA-01021 Views: 4147 Created: 2013-07-24 01:23 Last Updated: 2013-07-26 20:27 0 Rating/ Voters

Uma pergunta especialmente construida enviada ao BIND pode provocar uma terminação anómala (crash)

CVE: 
CVE-2013-4854   
Versão do Documento:   
2.0
Data de publicação: 
26 Julho 2013
Programa afetado: 
BIND
Versões afetadas: 

Open source: 9.7.0->9.7.7, 9.8.0->9.8.5-P1, 9.9.0->9.9.3-P1, 9.8.6b1 and 9.9.4b1;

Subscription: 9.9.3-S1 and 9.9.4-S1b1

Gravidade: 
Critica 
Exploração: 
Remotamente

Descrição:

Uma pergunta especialmente construída que inclui rdata inválida  pode provocar uma terminação anómala (crash) do named com uma falha de asserção ao rejeitar a pergunta.

O BIND 9.6-ESV não está  afetado por este problema. As versões de BIND anteriores ao 9.6 pensa-se que não estão afetadas mas essas versões estão em "fim de vida" (EOL) e não são testadas e a ISC não gera soluções aos problemas de segurança dessas versões. O BIND 10 não está afetado.

Nota: Todas as versões de BIND 9.7 estão afetadas, mas essas versões estão em "fim de vida" (EOL) e não são testadas e a ISC não gera soluções aos problemas de segurança dessas versões. Para mais informação sobre que versões de BIND são atualmente suportadas, veja http://www.isc.org/downloads/software-support-policy/bind-software-status/. 

Impacto:

Estão afetados tanto os servidores autoritativos como os recursivos. A utilização intencionada de esta falha pode provocar uma denegação de serviço em todos os servidores de nomes com as versões afetadas do BIND. As listas de controlo de acesso (ACL) não oferecem nenhuma proteção contra este problema.

Para além do servidor named, os programas que utilizam as livrarias das versões afetadas podem abortar com falhas de asserção pela mesma causa.

Valor CVSS:  7.8

 Equação CVSS:  (AV:N/AC:L/Au:N/C:N/I:N/A:C)

For more information on the Common Vulnerability Scoring System and to obtain your specific environmental score please visit:http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C) 

Soluções alternativas:

Não se conhecem soluções alternativas neste momento.   

Exploits ativos: 

Crashes have been reported by multiple ISC customers.  First observed in the wild on 26 July 2013.

Solução: Atualize para uma versão corrigida o mais parecida aquela que tem agora. As versões de Open Source podem ser obtidas em http://www.isc.org/downloads. Os clientes com versões de subscrição serão contatados diretamente pela ISC.

  • BIND 9 version 9.8.5-P2
  • BIND 9 version 9.9.3-P2
  • BIND 9 version 9.9.3-S1-P1 (Subscription version available via DNSco)

Agradecimentos: A ISC gostaria de agradecer  Maxim Shudrak e a HP ZDI por nos informar do problema.

Historia de Revisões do Documento:

1.0 Phase One Advance Notification, 18 July 2013
1.1 Phases Two and Three Advance Notification, 26 July 2013
2.0 Notification to public (Phase Four), 26 July 2013

Documentos Relacionados:

Veja a nossa BIND Security Matrix para uma lista completa dos problemas de Segurança e versões afetadas.

Este artigo da base de dados de conhecimento https://kb.isc.org/article/AA-01016 dá informação adicional e uma FAQ sobre este anuncio.

Se quiser mais informação sobre os nossos serviços de suporte ou sobre as nossas versões de Subscrição do BIND, veja http://www.dns-co.com/solutions/.

Ainda tem perguntas?  As perguntas relacionadas com este anuncio devem ser encaminhadas para  security-officer@isc.org.  Se quiser informar de um problema novo, por favor cifre a sua mensagem com a chave PGP de security-officer@isc.org's que pode ser encontrada aquí: https://www.isc.org/downloads/software-support-policy/openpgp-key/.  Se não for possível usar correio electrónico cifrado também pode informar de novos problemas emhttps://www.isc.org/mission/contact/.

Nota: A ISC só corrige as versões suportadas na atualidade (currently supported versions). Se possível indicamos que versões em fim de vida (EOL) estão afetadas.

Política de Informação de problemas de segurança da ISC: Os detalhes da nossa atual política de informação de problemas de segurança estão disponíveis aquiISC Software Defect and Security Vulnerability Disclosure Policy

Este artigo da base de dados de conhecimento https://kb.isc.org/article/AA-01015 é o documento completo e oficial da informação da falha de segurança.

Legal Disclaimer: 

Internet Systems Consortium (ISC) is providing this notice on an "AS IS" basis. No warranty or guarantee of any kind is expressed in this notice and none should be implied. ISC expressly excludes and disclaims any warranties regarding this notice or materials referred to in this notice, including, without limitation, any implied warranty of merchantability, fitness for a particular purpose, absence of hidden defects, or of non-infringement. Your use or reliance on this notice or materials referred to in this notice is at your own risk. ISC may change this notice at any time.  A stand-alone copy or paraphrase of the text of this document that omits the document URL is an uncontrolled copy. Uncontrolled copies may lack important information, be out of date, or contain factual errors.


© 2001-2017 Internet Systems Consortium

For assistance with problems and questions for which you have not been able to find an answer in our Knowledge Base, we recommend searching our community mailing list archives and/or posting your question there (you will need to register there first for your posts to be accepted). The bind-users and the dhcp-users lists particularly have a long-standing and active membership.

ISC relies on the financial support of the community to fund the development of its open source software products. If you would like to support future product evolution and maintenance as well having peace of mind knowing that our team of experts are poised to provide you with individual technical assistance whenever you call upon them, then please consider our Professional Subscription Support services - details can be found on our main website.

Feedback
  • There is no feedback for this article
Quick Jump Menu