Vulnerabilidad en named en BIND (CVE-2017-3138)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/01/2019
Última modificación:
09/10/2019
Descripción
named contiene una característica que permite que los operadores envíe comandos a un servidor en ejecución comunicándose con el proceso del servidor mediante un canal de control utilizando un programa como rndc. Una regresión empleada en un cambio de características reciente ha creado una situación en la cual algunas versiones de named pueden cerrarse con un error de aserción de REQUIRE si se le envía una cadena de comandos null. Afecta a BIND desde la versión 9.9.9 hasta la 9.9.9-P7, desde la versión 9.9.10b1 hasta la 9.9.10rc2, desde la versión 9.10.4 hasta la 9.10.4-P7, desde la versión 9.10.5b1 hasta la 9.10.5rc2, desde la versión 9.10.5b1 hasta la 9.10.5rc2, desde la versión 9.11.0 hasta la 9.11.0-P4, desde la versión 9.11.1b1 hasta la 9.11.1rc2 y desde la versión 9.9.9-S1 hasta 9.9.9-S9.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:isc:bind:9.9.9:*:*:*:*:*:*:* | ||
| cpe:2.3:a:isc:bind:9.9.9:p1:*:*:*:*:*:* | ||
| cpe:2.3:a:isc:bind:9.9.9:p2:*:*:*:*:*:* | ||
| cpe:2.3:a:isc:bind:9.9.9:p3:*:*:*:*:*:* | ||
| cpe:2.3:a:isc:bind:9.9.9:p4:*:*:*:*:*:* | ||
| cpe:2.3:a:isc:bind:9.9.9:p5:*:*:*:*:*:* | ||
| cpe:2.3:a:isc:bind:9.9.9:p6:*:*:*:*:*:* | ||
| cpe:2.3:a:isc:bind:9.9.9:p7:*:*:*:*:*:* | ||
| cpe:2.3:a:isc:bind:9.9.9:s1:*:*:*:*:*:* | ||
| cpe:2.3:a:isc:bind:9.9.9:s7:*:*:*:*:*:* | ||
| cpe:2.3:a:isc:bind:9.9.10:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:isc:bind:9.9.10:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:isc:bind:9.9.10:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:isc:bind:9.10.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:isc:bind:9.10.4:p1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página