Vulnerabilidades en servidores de ISC BIND e IBM i

Fecha de publicación 09/08/2018
Importancia
4 - Alta
Recursos Afectados

Las versiones afectadas de BIND son:

  • 9.7.0 a 9.8.8, 9.9.0 a 9.9.13, 9.10.0 a 9.10.8, 9.11.0 a 9.11.4, 9.12.0 a 9.12.2, 9.13.0 a 9.13.2

[Actualización 09/11/2018] Las versiones afectadas de IBM i son:

  • 7.1, 7.2 y 7.3

[Actualización 12/12/2018] Las versiones afectadas de Power Hardware Management Console (HMC) son:

  • 8.6.0.0, 8.7.0.0 y 9.1.910.0
Descripción

Internet Systems Consortium (ISC) ha publicado un aviso de seguridad para abordar una vulnerabilidad que afecta a múltiples versiones del ISC Berkeley Internet Name Domain (BIND). Un atacante remoto podría aprovechar esta vulnerabilidad para causar una denegación de servicio.

Solución

La mayoría de los operadores no necesitarán realizar cambios a menos que estén utilizando la función "deny-answer-aliases", que está desactivada por defecto; sólo las configuraciones que lo habilitan explícitamente pueden verse afectadas por esta vulnerabilidad.

Si utiliza "deny-answer-aliases", actualice a la versión parcheada más cercana a su versión actual de BIND.

  • 9.9.13-P1
  • 9.10.8-P1
  • 9.11.4-P1
  • 9.12.2-P1

Para BIND Supported Preview Edition.

  • 9.11.3-S3

[Actualización 09/11/2018] El problema se puede solucionar aplicando un PTF a IBM i. Las versiones 7.1, 7.2 y 7.3 de IBM i son compatibles y serán corregidas. Los números PTF de IBM i son:

  • Versión 7.1 – SI68478.
  • Versión7.2 – SI68467.
  • Versión 7.3 – SI68466.

[Actualización 12/12/2018] El problema se puede solucionar aplicando los parches correspondientes para cada versión de Power HMC:

  • Para V8.8.6.0 SP3, aplicar MH01795.
  • Para V8.8.7.0 SP2 ppc, aplicar MH01797.
  • Para V8.8.7.0 SP2 x86, aplicar MH01796.
  • Para V9.1.920.0 SP1 ppc, aplicar MH01790.
  • Para V9.1.920.0 SP1 x86, aplicar MH01789.
Detalle

BIND tiene una característica poco utilizada denominada "deny-answer-aliases" para ayudar a los operadores de servidores recursivos a proteger a los usuarios finales contra ataques de revinculación de DNS (DNS rebinding), un método potencial para eludir el modelo de seguridad utilizado por los navegadores de los clientes. Sin embargo, un fallo en esta función hace que sea fácil, cuando está siendo usada, sufrir un error de inserción INSIST en el archivo name.c. Para esta vulnerabilidad se ha asignado el identificador CVE-2018-5740.

[Actualización 12/12/2018] Se ha reservado el identificador CVE-2018-5740 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
CVE-2018-5740: A flaw in the "deny-answer-aliases" feature can cause an INSIST assertion failure in named
Security Bulletin: IBM i is affected by networking BIND vulnerability CVE-2018-5740
Security Bulletin: Vulnerability in BIND affects Power Hardware Management Console (CVE-2018-5740)
Etiquetas