Vulnerabilidades

Un error en el conteo de la base de datos de la zona puede conducir a un fallo de aserción si un servidor que está ejecutando una versión afectada de BIND intenta realizar varias transferencias hacia una zona esclava en rápida sucesión. Este defecto podría ser aprovechado deliberadamente por un atacante al que se le permite hacer que un servidor vulnerable inicie transferencias de zona (por ejemplo, mediante el envío de mensajes NOTIFY válidos), lo que provoca que el proceso named se cierre tras fallar la prueba de aserción. Afecta a BIND en versiones 9.12.0 y 9.12.1.

Un atacante que pueda enviar y recibir mensajes a un servidor DNS autoritativo y que conozca un nombre de clave TSIG válido podría ser capaz de omitir la autenticación TSIG de las peticiones AXFE mediante un paquete de petición cuidadosamente construido. Un servidor que solo depende de las claves TSIG para protegerse sin ningún otro mecanismo de protección de listas de control de acceso podría manipularse para: proporcionar el AXFR de una zona a un destinatario no autorizado o aceptar paquetes NOTIFY falsos. Afecta a BIND desde la versión 9.4.0 hasta la versión 9.8.8, desde la versión 9.9.0 hasta la versión 9.9.10-P1, desde la versión 9.10.0 hasta la versión 9.10.5-P1, desde la versión 9.11.0 hasta la versión 9.11.1-P1, desde la versión 9.9.3-S1 hasta la versión 9.9.10-S2 y desde la versión 9.10.5-S1 hasta la versión 9.10.5-S2.

El cambio #4777 (presentado en octubre de 2017) introdujo un problema no imaginado en las versiones lanzadas tras esa fecha, que afecta a los clientes que pueden realizar consultas recursivas a un servidor de nombre de BIND. El comportamiento planeado (y documentado) es que, si un operador no ha especificado un valor para la opción "allow-recursion", DEBERÍA ser por defecto uno de los siguientes: si "recursion no;" está configurado como named.conf; un valor heredado de las opciones "allow-query-cache" o "allow-query" SI "recursion yes;" (la opción por defecto) Y las listas de coincidencias está configuradas de forma explícita para "allow-query-cache" o "allow-query" (véase el manual de referencia administrativa de BIND9, sección 6.2, para más detalles); o la opción por defecto planeada de "allow-recursion {localhost; localnets;};" si "recursion yes;" está en uso y no hay valores configurados de forma explícita para "allow-query-cache" o "allow-query". Sin embargo, debido a la regresión introducida por el cambio #4777, es posible que, cuando "recursion yes;" está en uso y no se proporcionan valores de lista de coincidencias para "allow-query-cache" o "allow-query" para la configuración de "allow-recursion", se herede una configuración de todos los hosts de la opción por defecto "allow-query". Esto permite de forma incorrecta la recursión a todos los clientes. Afecta a BIND en versiones 9.9.12, 9.10.7, 9.11.3, desde la versión 9.12.0 hasta la 9.12.1-P2, la versión de desarrollo 9.13.0, además de las versiones 9.9.12-S1, 9.10.7-S1, 9.11.3-S1 y 9.11.3-S2 de BIND 9 Supported Preview Edition.

named contiene una característica que permite que los operadores envíe comandos a un servidor en ejecución comunicándose con el proceso del servidor mediante un canal de control utilizando un programa como rndc. Una regresión empleada en un cambio de características reciente ha creado una situación en la cual algunas versiones de named pueden cerrarse con un error de aserción de REQUIRE si se le envía una cadena de comandos null. Afecta a BIND desde la versión 9.9.9 hasta la 9.9.9-P7, desde la versión 9.9.10b1 hasta la 9.9.10rc2, desde la versión 9.10.4 hasta la 9.10.4-P7, desde la versión 9.10.5b1 hasta la 9.10.5rc2, desde la versión 9.10.5b1 hasta la 9.10.5rc2, desde la versión 9.11.0 hasta la 9.11.0-P4, desde la versión 9.11.1b1 hasta la 9.11.1rc2 y desde la versión 9.9.9-S1 hasta 9.9.9-S9.

Si named está configurado para que emplee RPZ (Response Policy Zones), un error a a hora de procesar algunos tipos de regla puede conducir a una condición en la que BIND entrará en un bucle infinito al manejar una consulta. Afecta a BIND en la versión 9.9.10, 9.10.5, desde la versión 9.11.0 hasta la 9.11.1 y en las versiones 9.9.10-S1 y 9.10.5-S1.

El instalador de BIND en Windows emplea una ruta de servicio sin entrecomillar que puede permitir que un usuario local logre escalar privilegios si los permisos del sistema host de archivos lo permiten. Afecta a BIND desde la versión 9.2.6-P2 hasta la 9.2.9, desde la 9.3.2-P1 hasta la 9.3.6, desde la 9.4.0 hasta la 9.8.8, desde la 9.9.0 hasta la 9.9.10, desde la 9.10.0 hasta la 9.10.5, desde la 9.11.0 hasta la 9.11.1, desde la 9.9.3-S1 hasta la 9.9.10-S1 y en la versión 9.10.5-S1.

El componente Quick Setup de las versiones anteriores a la 8.4 de RSA Authentication Manager es vulnerable a un salto de directorio relativo. Un atacante local podría proporcionar una licencia manipulada a un administrador que, si se emplea durante el despliegue de la instalación rápida del sistema inicial de RSA Authentication Manager, podría permitir que el atacante obtenga acceso no autorizado a dicho sistema.

En ciertas condiciones, al emplear DNS64 y RPZ para rescribir respuestas a consultas, el procesamiento de consultas puede continuar de forma inconsistente, lo que puede conducir a un fallo de aserción de INSIST o a un intento para leer a través de un puntero NULL. Afecta a BIND en su versión 9.8.8, desde la versión 9.9.3-S1 hasta la 9.9.9-S7, desde la versión 9.9.3 hasta la 9.9.9-P5, la versión 9.9.10b1, desde la versión 9.10.0 hasta la 9.10.4-P5, la versión 9.10.5b1, desde la versión 9.11.0 hasta la 9.11.0-P2 y a la versión 9.11.1b1.

Las asunciones equivocadas sobre el orden de los registros en la sección de respuesta de una respuesta que contiene registros de recursos CNAME o DNAME podría conducir a una situación en la que named se cerraría con un fallo de aserción al procesar una respuesta en la que los registros ocurrieron en un orden inusual. Afecta a BIND en versiones 9.9.9-P6, desde la versión 9.9.10b1 hasta la 9.9.10rc1, la versión 9.10.4-P6, desde la versión 9.10.5b1 hasta la 9.10.5rc1, la versión 9.11.0-P3, desde la versión 9.11.1b1 hasta la 9.11.1rc1 y en la versión 9.9.9-S8.

Al gestionar un tipo concreto de paquete mal formado, BIND selecciona erróneamente un rcode SERVFAIL en lugar de un rcode FORMERR. Si la vista que se está recibiendo tiene la característica de caché SERVFAIL habilitada, esto puede desencadenar un fallo de aserción en badcache.c cuando la petición no contiene toda la información esperada. Afecta a BIND desde la versión 9.9.5-S1 hasta la 9.10.5-S4 y desde la versión 9.10.6-S1 hasta la 9.10.6-S2.

Un problema con la implementación de la nueva característica "serve-stale" en BIND 9.12 puede conducir a un fallo de aserción en rbtdb.c, incluso cuando stale-answer-enable está desactivado. Además, la interacción problemática entre la característica serve-stale y el cacheo negativo agresivo NSEC puede provocar en algunos casos un comportamiento no deseado en named, como un bucle de recursión o el registro excesivo. La explotación deliberada de esta condición podría provocar problemas operativos sobre la manifestación concreta, ya sea una degradación o una denegación de servicio (DoS). Afecta a BIND en versiones 9.12.0 y 9.12.1.

Una extensión de las capacidades de enlace que debutó en Kea 1.4.0 introdujo una fuga de memoria para los operadores que emplean ciertas características de la biblioteca de enlaces. Para poder soportar múltiples peticiones de forma simultánea, Kea 1.4 introdujo un almacén de manejo de llamadas pero, desafortunadamente, la implementación inicial de este almacén no libera memoria correctamente en cada caso. Los enlaces que emplean los parámetros query4 o query6 en sus llamadas pueden filtrar memoria, lo que resulta en el agotamiento de la memoria disponible y el el subsiguiente error del proceso del servidor. Afecta a Kea DHCP 1.4.0.