[Actualización 18/03/2022] Múltiples vulnerabilidades en BIND

Fecha de publicación
17/03/2022
Importancia
4 - Alta
Recursos Afectados
  • BIND, versiones:
    • desde 9.11.0, hasta 9.11.36;
    • desde 9.12.0, hasta 9.16.26;
    • desde 9.16.11, hasta 9.16.26;
    • desde 9.17.0, hasta 9.18.0.
  • BIND Supported Preview Editions, versiones:
    • desde 9.11.4-S1, hasta 9.11.36-S1;
    • desde 9.16.8-S1, hasta 9.16.26-S1;
    • desde 9.16.11-S1 hasta 9.16.26-S1.

Las versiones de BIND 9 anteriores también están afectadas, pero no han sido probadas ya que se consideran en su fin de vida útil.

Descripción
Solución

Actualizar a:

  • BIND:
    • BIND 9.11.37;
    • BIND 9.16.27;
    • BIND 9.18.1;
  • BIND Supported Preview Edition:
    • BIND 9.11.37-S1;
    • BIND 9.16.27-S1.
Detalle
  • Una vulnerabilidad se refiere a que el envío de patrones repetidos, de consultas específicas, a servidores con la característica RFC 8198 Aggressive Use de DNSSEC-Validated Cache (synth-from-dnssec) activada, podían permitir a un atacante causar un fallo INSIST en query.c:query_dname que hace que named se cierre inesperadamente. Se ha asignado el identificador CVE-2022-0635 para esta vulnerabilidad de severidad alta.

Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2021-25220 y CVE-2022-0396.

Encuesta valoración

Listado de referencias
CVE-2021-25220: DNS forwarders - cache poisoning vulnerability
CVE-2022-0396: DoS from specifically crafted TCP packets
CVE-2022-0635: DNAME insist with synth-from-dnssec enabled
[Actualización 18/03/2022] CVE-2022-0667: Assertion failure on delayed DS lookup
Etiquetas

botón arriba