08 julio 2011

Vulnerabilidades en Bind 9 y los australianos prematuros

Este pasado 5 de Julio, mientras todos los americanos estaban de resaca por el día de la independencia, se publicaba prematuramente por parte del CERT Australiano (AusCERT) un nuevo advisory (nota de seguridad) sobre el DNS de BIND. Se trataba de un par de vulnerabilidades que afectaban remotamente al servicio, y que mediante paquetes malformados serían capaces de provocar la denegación del servicio named, afectando tanto a servidores autoritativos como a recursivos. De criticidad severa y explotable remotamente. Las vulnerabilidades corresponderían con los CVE CVE-2011-2465 y CVE-2011-2464.

La nota de prensa por parte del AUSCERT la podréis consultar en este enlace (pastebin). Si bien su fecha de publicación oficial finalmente ha sido el 5 de Julio, el AUSCERT especificaba que esta información se publicaría el 6 de Julio en la sección de seguridad del ISC, www.isc.org/security (buscad la cadena "Document URL: http://www.isc.org/security (to be published July 6)"). ¿Desfases horarios? ¿Mala coordinación? ¿Despiste?

Seguidamente, el AUSCERT se disculpaba enviando la siguiente nota a todos sus usuarios:
Pedimos disculpas si el anuncio prematuro ha causado que hayan iniciado algún tipo de acción para la que no estén preparados y que debería ser interrumpida. Por favor, no distribuyan el boletín del AusCERT. Por favor, elimínenlo de sus sistemas inmediatamente y permanentemente.
Tarde, lo que publicas en internet, ya nunca puede desaparecer o ser eliminado.

Volviendo al tema más importante, estas vulnerabilidades se resuelven actualizando a las siguientes versiones de Bind 9:

  • 9.6-ESV-R4-P3
  • 9.7.3-P3
  • 9.8.0-P4
Según el ISC acerca de que servidores resultarían vulnerables: "Servidores que tuviesen la recursión habilitada y estuviesen configurados con una zona RPZ conteniendo ciertos tipos de registros. Sobretodo, registros DNAME y algunos tipos de registros CNAME"