Vulnerabilidade no servidor DNS BIND

Internet Systems ConsortiumCAIS (Centro de Tratamento a Incidentes de Segurança) está repassando o alerta do ISC (Internet Systems Consortium),
intitulado “Large RRSIG RRsets and Negative Caching can crash named” que trata de uma vulnerabilidade no servidor DNS BIND.

A vulnerabilidade afeta servidores de DNS que utilizam BIND 9 e são configurados como “caching resolver“. O armazenamento de uma resposta negativa de uma consulta a um domínio executada com um RRSet muito extenso, paralisa o serviço named (BIND 9) devido a um erro de verificação no tamanho de buffer. Esta vulnerabilidade pode ser explorada remotamente, por exemplo, por meio de malwares que forçem os clientes a consultarem domínios cujos servidores estejam configurados para enviar respostas construídas especialmente para essa finalidade.

Uma medida paleativa é restringir o acesso ao servidor de DNS de cache. Entretanto, o CAIS recomenda que sejam implementadas as soluções descritas na seção “correções disponíveis”.

Sistemas afetados: são afetadas por esta vulnerabilidade as seguintes versões do BIND 9:

  • 9.4-ESV-R3 e anteriores; 9.6-ESV-R2 e anteriores
  • 9.6.3 e anteriores; 9.7.1 e anteriores; 9.8.0 e anteriores

Correções disponíveis: recomenda-se a atualização do servidor BIND 9 para as versões:

  • 9.4-ESV-AR4-P1; 9.6-ESV-R4-P1; 9.7.3-P1; 9.8.0-P2 ou superiores

Mais informações: