Aviso de vulnerabilidades BIND 9
El equipo de Ciberseguridad de Netglobalis informa que se divulgaron 4 vulnerabilidades en BIND 9, las cuales podrían afectar la disponibilidad de sus servicios de DNS.
Un atacante podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
Por tanto, se recomienda a los usuarios y administradores revisar las siguientes afectaciones y aplicar las actualizaciones necesarias:
SEVERIDAD ALTA
CVE-2022-0667: Error de aserción en la búsqueda de DS retrasada.
Cuando se activa la vulnerabilidad, el proceso BIND se cerrará. Solo la rama BIND 9.18 se ve afectada.
CVE-2022-0635: DNAME insiste con synth-from-dnssec habilitado.
Cuando una versión vulnerable de named recibe una serie de consultas específicas, el proceso named eventualmente terminará debido a una verificación de afirmación fallida.
SEVERIDAD MEDIA
CVE-2022-0396: DoS de paquetes TCP diseñados de manera específica.
Los flujos de TCP específicamente diseñados pueden hacer que las conexiones a BIND permanezcan en CLOSE_WAIT estado durante un período de tiempo indefinido, incluso después de que el cliente haya terminado la conexión.
CVE-2021-25220: Reenviadores de DNS: vulnerabilidad de envenenamiento de caché.
También se cree que las versiones de BIND 9 anteriores a las que se muestran (hasta la 9.1.0, incluidas las ediciones de vista previa admitidas) están afectadas, pero no se han probado porque están al final del período de vida.
Cuando se utilizan reenviadores, los registros NS falsos proporcionados por, o a través de, esos reenviadores pueden almacenarse en caché y ser utilizados por named si necesita repetirse por algún motivo, lo que hace que obtenga y transmita respuestas potencialmente incorrectas.
Mitigación:
Se recomienda a los usuarios y administradores que apliquen las actualizaciones a las versiones necesarias para mitigar cualquier riesgo potencial de explotación por parte de actores malintencionados.
https://downloads.isc.org/isc/bind9/9.11.37/patches/
https://downloads.isc.org/isc/bind9/9.16.27/patches/
https://downloads.isc.org/isc/bind9/9.18.1/patches/
Enlaces:
https://kb.isc.org/docs/cve-2021-25220
https://kb.isc.org/docs/cve-2022-0396