Múltiples vulnerabilidades en BIND

Fecha de publicación 23/09/2022

Identificador

INCIBE-2022-0935

Importancia

4 - Alta

Recursos Afectados

BIND, versiones:
- desde 9.18.0, hasta 9.18.6;
- desde 9.19.0, hasta 9.19.4;
- desde 9.8.4, hasta 9.16.32;
- desde 9.9.12, hasta 9.9.13;
- desde 9.10.7, hasta 9.10.8.
BIND Supported Preview Editions, versiones:
- desde 9.9.4-S1, hasta 9.11.37-S1;
- desde 9.16.8-S1, hasta 9.16.32-S1.

Descripción

Se han publicado 4 vulnerabilidades de severidad alta en BIND, que podrían permitir a un atacante dañar la memoria disponible, finalizar el proceso named o causar una fuga de memoria.

Solución

Actualizar a:

BIND:
- 9.16.33;
- 9.18.7;
- 9.19.5.
BIND Supported Preview Edition 9.16.33-S1.

Detalle

Los cambios entre OpenSSL 1.x y OpenSSL 3.0 exponen un fallo en named que provoca una pequeña fuga de memoria en el procesamiento de claves cuando se utilizan registros TKEY en modo Diffie-Hellman con OpenSSL 3.0.0 y versiones posteriores. Se ha asignado el identificador CVE-2022-2906 para esta vulnerabilidad.
El resolver de BIND 9 podría fallar cuando la caché y las respuestas antiguas están activadas, la opción stale-answer-client-timeout está establecida en 0 y hay un CNAME antiguo en la caché para una consulta entrante. Se ha asignado el identificador CVE-2022-3080 para esta vulnerabilidad.
El código de verificación de DNSSEC para el algoritmo ECDSA pierde memoria cuando hay un desajuste en la longitud de la firma. Se ha asignado el identificador CVE-2022-38177 para esta vulnerabilidad.
El código de verificación de DNSSEC para el algoritmo EdDSA pierde memoria cuando hay un desajuste en la longitud de la firma. Se ha asignado el identificador CVE-2022-38178 para esta vulnerabilidad.