Múltiples vulnerabilidades en BIND 9

Fecha de publicación 14/02/2024
Importancia
4 - Alta
Recursos Afectados
  • Versiones de BIND:
    • desde 9.0.0 hasta 9.16.46;
    • desde 9.16.0 hasta 9.16.45;
    • desde 9.12.0 hasta 9.16.45;
    • desde 9.18.0 hasta 9.18.22;
    • desde 9.19.0 hasta 9.19.20.
  • Versiones de BIND Supported Preview Edition:
    • desde 9.9.3-S1 hasta 9.16.46-S1;
    • desde 9.16.8-S1 hasta 9.16.45-S1;
    • desde 9.18.11-S1 hasta 9.18.22-S1.
Descripción

ICS BIND ha notificado 6 vulnerabilidades de severidad alta que afectan a BIND 9. Un atacante podría explotar estas vulnerabilidades para provocar una denegación de servicio.

Solución
  • Versiones de BIND:
    • 9.16.48;
    • 9.18.24;
    • 9.19.21.
  • Versiones de BIND Supported Preview Edition:
    • 9.16.48-S1;
    • 9.18.24-S1.
Detalle
  • El procesamiento de respuestas procedentes de zonas firmadas con DNSSEC mediante NSEC3 podría provocar el agotamiento de la CPU en un resolver que valide DNSSEC. Se ha asignado el identificador CVE-2023-50868 para esta vulnerabilidad.
  • El procesamiento de respuestas procedentes de zonas firmadas con DNSSEC especialmente diseñadas podría provocar el agotamiento de la CPU en un resolver que valide DNSSEC. Se ha asignado el identificador CVE-2023-50387 para esta vulnerabilidad (apodada KeyTrap).
  • Un atacante podría causar que la cantidad de memoria utilizada por un resolver "named" desbordase el límite "max-cache-size" configurado. Se ha asignado el identificador CVE-2023-6516 para esta vulnerabilidad.
  • Una mala interacción entre DNS64 y serve-stale podría causar el bloqueo de "named" con un fallo de aserción durante la resolución recursiva, cuando ambas funciones están activadas. Se ha asignado el identificador CVE-2023-5679 para esta vulnerabilidad.
  • Esta vulnerabilidad podría provocar un fallo en "named" cuando "nxdomain-redirect <domain>" está configurado y el resolver recibe una consulta PTR para una dirección RFC 1918 que normalmente daría lugar a una respuesta NXDOMAIN autoritativa. Se ha asignado el identificador CVE-2023-5517 para esta vulnerabilidad.
  • Las consultas y respuestas falsificadas podrían provocar una carga excesiva de la CPU en la instancia "named" afectada si se explota esta vulnerabilidad. Se ha asignado el identificador CVE-2023-4408 para esta vulnerabilidad.
Listado de referencias
CVE-2023-50868: Preparing an NSEC3 closest encloser proof can exhaust CPU resources
CVE-2023-50387: KeyTrap - Extreme CPU consumption in DNSSEC validator
CVE-2023-6516: Specific recursive query patterns may lead to an out-of-memory condition
CVE-2023-5679: Enabling both DNS64 and serve-stale may cause an assertion failure during recursive resolution
CVE-2023-5517: Querying RFC 1918 reverse zones may cause an assertion failure when nxdomain-redirect is enabled
CVE-2023-4408: Parsing large DNS messages may cause excessive CPU load
KeyTrap: Serious Vulnerability in the Internet Infrastructure
Etiquetas