Avisos 29 de July, 2013

Vulnerabilitat de denegació de servei a BIND

S'ha fet pública una vulnerabilitat a BIND, una de les implementacions de servidors DNS més utilitzades a Internet, que permet realitzar una denegació de servei mitjançant una petició especialment manipulada per aquesta finalitat. Es troben disponibles les actualitzacions que corregeixen aquesta vulnerabilitat. La vulnerabilitat és de nivell crític, de tipus denegació de servei explotable remotament.

Impacte
 
Denegació de servei.
 
Productes afectats
 
BIND versions 9.7.0 fins a 9.7.7
BIND versions 9.8.0 fins a 9.8.5-P1
BIND versions 9.9.0 fins a 9.9.3-P1
BIND versions 9.8.6b1, 9.9.4b1
 
Nota: Bind 9.6 i BIND 9.6-ESV no es veuen afectades. Es creu que les branques anteriors de BIND 9 no es veuen afectades, però no s'ha verificat. BIND 10 tampoc es veu afectat.
 
Solució
 
Actualitzar a les últimes versions publicades pel fabricant, disponibles per a descarregar des del lloc web del producte. Els paquets integrats en la majoria de distribucions Linux han estat actualitzats.
Les versions de BIND 9.7.X. es veuen afectades per la vulnerabilitat, i ja no disposen de suport, pel que no es publiquen actualitzacions de seguretat.
 
Detall
 
La vulnerabilitat publicada per BIND 9 és:
 
CVE-2013-4854: Una consulta especialment modificada enviada a un servidor BIND pot generar una denegació de servei en les versions de BIND que es veuen afectades. Aquesta vulnerabilitat es pot explotar remotament.
 
Referències
 
CVE-2013-4854 [EN]: Una consulta modificada pot causar que BIND pateixi una denegació de servei.
ISC descàrregues d'actualitzacions:
Matriu de vulnerabilitats per serveis BIND:
Publicat a: Avisos