botón arriba

Dos nuevos avisos de seguridad

Múltiples vulnerabilidades en BIND

Fecha22/06/2023
Importancia4 - Alta
Recursos Afectados

Versiones de BIND:

  • desde 9.11.0 hasta 9.16.41;
  • desde 9.16.33 hasta 9.16.41;
  • desde 9.18.0 hasta 9.18.15;
  • desde 9.19.0 hasta 9.19.13.

Versiones de BIND Supported Preview Edition:

  • desde 9.11.3-S1 hasta 9.16.41-S1;
  • desde 9.16.8-S1 hasta 9.16.41-S1;
  • desde 9.18.11-S1 hasta 9.18.15-S1.

Las versiones anteriores a 9.11.37 y 9.11.37-S1 no han sido analizadas, pero el fabricante sospecha que todas las versiones 9.11 son vulnerables. Algunas ramas (branches) principales, incluso más antiguas, también podrían ser vulnerables.

Descripción

Varios investigadores han reportado 3 vulnerabilidades de severidad alta que afectan a BIND, cuya explotación podría provocar una condición de denegación de servicio (DoS), un desbordamiento de búfer o forzar la finalización de la instancia name.

Solución

Actualizar BIND a las versiones:

  • 9.16.42;
  • 9.18.16;
  • 9.19.14.

Actualizar BIND Supported Preview Edition a las versiones:

  • 9.16.42-S1;
  • 9.18.16-S1.
Detalle
  • La efectividad del algoritmo para la liberación de caché de las instancias name podría reducirse, permitiendo así exceder el límite configurado para el tamaño máximo de caché y provocar un DoS. Se ha asignado el identificador CVE-2023-2828 para esta vulnerabilidad.
  • Si la opción de configuración synth-from-dnssec está habilitada, el uso de un registro NSEC especialmente diseñado podría forzar un cierre inesperado de la instancia named. Se ha asignado el identificador CVE-2023-2829 para esta vulnerabilidad.
  • Si se excede la cuota del valor recursive-clients, la instancia named podría entrar en bucle y terminar de manera forzosa cuando el resolver está configurado con los valores stale-answer-enable yes y stale-answer-client-timeout 0. Se ha asignado el identificador CVE-2023-2911 para esta vulnerabilidad.

Múltiples vulnerabilidades 0day en productos de Apple

Fecha22/06/2023
Importancia5 - Crítica
Recursos Afectados

Versiones anteriores a:

  • Safari 16.5.1
  • iOS 16.5.1 e iPadOS 16.5.1
  • iOS 15.7.7 e iPadOS 15.7.7
  • macOS Ventura 13.4.1
  • macOS Monterey 12.6.7
  • macOS Big Sur 11.7.8
  • watchOS 9.5.2
  • watchOS 8.8.1

 

Descripción

Georgy Kucherin, Leonid Bezvershenko y Boris Larin, de Kaspersky, han informado a Apple 3 sobre vulnerabilidades 0day que podrían permitir a un atacante ejecutar código arbitrario.

Solución

Actualizar a las últimas versiones disponibles:

Detalle

Las vulnerabilidades 0day detectadas afectan al Kernel y WebKit. Estas podrían permitir a una aplicación ejecutar código arbitrario con privilegios de Kernel o procesar contenido web con fines maliciosos.

Se han asignado los identificadores CVE-2023-32434, CVE-2023-32435 y CVE-2023-32439 para estas vulnerabilidades.