Vulnerabilidad en BIND 9 (CVE-2023-6516)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

13/02/2024

Última modificación:

22/10/2024

Descripción

Para mantener eficiente su base de datos de caché, `named` que se ejecuta como un solucionador recursivo intenta ocasionalmente limpiar la base de datos. Utiliza varios métodos, incluidos algunos que son asincrónicos: primero se asigna una pequeña porción de memoria que apunta al elemento de caché que se puede limpiar y luego se pone en cola para su posterior procesamiento. Se descubrió que si el solucionador procesa continuamente patrones de consulta que desencadenan este tipo de mantenimiento de la base de datos de caché, es posible que "named" no pueda manejar los eventos de limpieza de manera oportuna. Esto, a su vez, permite que la lista de eventos de limpieza en cola crezca infinitamente con el tiempo, lo que permite superar significativamente el límite de "tamaño máximo de caché" configurado. Este problema afecta a las versiones 9.16.0 a 9.16.45 y 9.16.8-S1 a 9.16.45-S1 de BIND 9.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:isc:bind:::::-:::*	9.16.0 (incluyendo)	9.16.45 (incluyendo)
cpe:2.3:a:isc:bind:9.16.8:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.16.11:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.16.12:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.16.13:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.16.14:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.16.21:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.16.32:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.16.36:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.16.43:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.16.45:s1:::supported_preview:::*
cpe:2.3:a:netapp:active_iq_unified_manager:-:::::vmware_vsphere::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:isc:bind:::::-:::*	9.16.0 (incluyendo)	9.16.45 (incluyendo)
cpe:2.3:a:isc:bind:9.16.8:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.16.11:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.16.12:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.16.13:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.16.14:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.16.21:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.16.32:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.16.36:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.16.43:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.16.45:s1:::supported_preview:::*
cpe:2.3:a:netapp:active_iq_unified_manager:-:::::vmware_vsphere::

Vulnerabilidad en BIND 9 (CVE-2023-6516)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información