Vulnerabilidad de fuga de memoria en ISC BIND
Fecha de publicación 22/02/2019
Importancia
4 - Alta
Recursos Afectados
- BIND, versiones desde 9.10.7 hasta 9.10.8-P1, desde 9.11.3 hasta 9.11.5-P1 y desde 9.12.0 hasta 9.12.3-P1
- BIND 9 Supported Preview Edition, versiones desde 9.10.7-S1 hasta 9.11.5-S3
- Rama de desarrollo 9.13 de BIND, versiones desde 9.13.0 hasta 9.13.6
Descripción
El investigador Toshifumi Sakaguchi ha descubierto una vulnerabilidad en ISC BIND de severidad alta que podría provocar una fuga de memoria en el sistema afectado.
Solución
- Actualizar a una versión de BIND que contenga una solución para esta vulnerabilidad:
- BIND Supported Preview Edition es una rama de BIND que ofrece una vista previa de características especiales a los clientes elegibles de soporte ISC:
Detalle
- La vulnerabilidad puede producir un fallo en la memoria libre cuando se procesan mensajes que tienen una combinación específica de opciones EDNS. Al explotar este fallo, un atacante puede hacer que el uso de la memoria crezca sin límites hasta que se agote toda la memoria disponible para el proceso. Usualmente, un proceso del servidor está limitado en cuanto a la cantidad de memoria que puede usar, pero si dicho proceso no está controlado por el sistema operativo, toda la memoria libre en el servidor podría agotarse. Se ha reservado el identificador CVE-2018-5744 para esta vulnerabilidad.
Listado de referencias
Etiquetas