2022] Múltiples vulnerabilidades en BIND

Fecha de publicación 17/03/2022

Importancia

4 - Alta

Recursos Afectados

BIND, versiones:
- desde 9.11.0, hasta 9.11.36;
- desde 9.12.0, hasta 9.16.26;
- desde 9.16.11, hasta 9.16.26;
- desde 9.17.0, hasta 9.18.0.
BIND Supported Preview Editions, versiones:
- desde 9.11.4-S1, hasta 9.11.36-S1;
- desde 9.16.8-S1, hasta 9.16.26-S1;
- desde 9.16.11-S1 hasta 9.16.26-S1.

Las versiones de BIND 9 anteriores también están afectadas, pero no han sido probadas ya que se consideran en su fin de vida útil.

Descripción

[Actualización 18/03/2022] Se han publicado 4 vulnerabilidades: 2 de severidad alta y 2 medias, que podrían permitir a un atacante finalizar el proceso named, enviar información falsa a los clientes, causar la terminación del proceso BIND debido a un fallo de aserción o hacer que las conexiones a BIND permanezcan en estado CLOSE_WAIT durante un periodo de tiempo indefinido, incluso después de que el cliente haya finalizado la conexión.

Solución

Actualizar a:

BIND:
- BIND 9.11.37;
- BIND 9.16.27;
- BIND 9.18.1;
BIND Supported Preview Edition:
- BIND 9.11.37-S1;
- BIND 9.16.27-S1.

Detalle

Una vulnerabilidad se refiere a que el envío de patrones repetidos, de consultas específicas, a servidores con la característica RFC 8198 Aggressive Use de DNSSEC-Validated Cache (synth-from-dnssec) activada, podían permitir a un atacante causar un fallo INSIST en query.c:query_dname que hace que named se cierre inesperadamente. Se ha asignado el identificador CVE-2022-0635 para esta vulnerabilidad de severidad alta.
[Actualización 18/03/2022] Cuando la función resume_dslookup() es llamada como resultado de un timeout en la vida útil del mecanismo de protección en el procesamiento de una petición para el registro DS, se podría producir un fallo en la aserción, lo que podría causar la finalización del proceso BIND. Se ha asignado el identificador CVE-2022-0667 para esta vulnerabilidad de severidad alta.

Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2021-25220 y CVE-2022-0396.

Listado de referencias

CVE-2021-25220: DNS forwarders - cache poisoning vulnerability

CVE-2022-0396: DoS from specifically crafted TCP packets

CVE-2022-0635: DNAME insist with synth-from-dnssec enabled

[Actualización 18/03/2022] CVE-2022-0667: Assertion failure on delayed DS lookup

Etiquetas