Vulnerabilidades en BIND 9 de ISC

Fecha de publicación 20/05/2020
Importancia
4 - Alta
Recursos Afectados

Versiones de BIND afectadas:

  • desde la 9.0.0, hasta la 9.11.18;
  • desde la 9.12.0, hasta la 9.12.4-P2;
  • desde la 9.14.0, hasta la 9.14.11;
  • desde la 9.16.0, hasta la 9.16.2;
  • desde la 9.17.0, hasta la 9.17.1 de la rama de desarrollo experimental 9.17;
  • todas las versiones obsoletas de las ramas de desarrollo 9.13 y 9.15;
  • todas las versiones de BIND Supported Preview Edition, desde la versión 9.9.3-S1, hasta la 9.11.18-S1.
Descripción

Varios investigadores han reportado a ISC dos vulnerabilidades de criticidad alta.

Solución

Actualizar a las siguientes versiones de BIND:

  • BIND 9.11.19,
  • BIND 9.14.12,
  • BIND 9.16.3,
  • BIND Supported Preview Edition, actualizar a la versión BIND 9.11.19-S1.
Detalle
  • Debido a una limitación insuficientemente restrictiva en el número de búsquedas mientras se procesa una respuesta, un atacante remoto podría impactar sobre el rendimiento del sistema, o emplear el servidor como reflector en un ataque de amplificación. Se ha asignado el identificador CVE-2020-8616 para esta vulnerabilidad.
  • Un error en el código que comprueba la validez de los mensajes que contengan registros TSIG podría permitir a un atacante remoto, generar una condición de denegación de servicio (DoS). Se ha asignado el identificador CVE-2020-8617 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
CVE-2020-8616: BIND does not sufficiently limit the number of fetches performed when processing referrals
CVE-2020-8617: A logic error in code which checks TSIG validity can be used to trigger an assertion failure in tsig.c
Etiquetas