Vulnerabilidad 0-day en BIND causa DoS (parches temporales)

Se ha encontrado una vulnerabilidad 0-day (CVE-2011-4313) que causa que los servidores de DNS BIND 9 dejen de responder. El fallo aún no identificado parece ser una vulnerabilidad de denegación de servicio (DoS) que se está explotando in-the-wild y parece afectar a todas las versiones de BIND.

ISC ha descrito el problema de la siguiente manera:

Los servidores afectados fallan luego de registrar un error en query.c con el siguiente mensaje: "INSIST(! dns_rdataset_isassociated(sigrdataset))". Hay reportes de múltiples versiones afectadas, incluyendo todas las versiones de ISC BIND9 soportadas en producción para este momento. ISC está investigando activamente la causa raíz y trabajando para producir actualizaciones que previenen la falla. Pronto se publicará información adicional.

El error provoca el almacenamiento de un registro DNS no valido. Si ese registro es consultado posteriormente el proceso entra en un estado de error de aserción (assert) y muere.

La causa del incidente sigue bajo investigación, pero ISC ha reaccionado rápidamente con un conjunto de parches temporales que evitar que los servidores dejen de responde, hasta que se desarrolle el parche oficial.

Actualización 23:00: Parece haber "prácticas" de ataque a BIND en dominios .edu y también en Amazon EC2.

Actualización 17/11: Ubuntu ya cuenta con actualización oficial.

Actualización 18/11: la comunidad de desarrolladores de BIND, ha lanzado la versión BIND 9.8.1-P1 que solventa la vulnerabilidad. También está lista de cambios.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín