Vulnerabilidades de alta gravedad en BIND

El Consorcio de Sistemas de Internet (ISC) ha publicado un boletín de seguridad que soluciona hasta 6 vulnerabilidades explotables de manera remota en el software BIND DNS.

BIND (Berkeley Internet Name Domain) es uno de los sistemas de nombres de dominio (DNS) más utilizados en Internet, llegando a ser un estándar de facto.

La pasada semana se publicaron parches para seis vulnerabilidades que afectan a BIND 9. Cuatro de los fallos de seguridad son categorizados como de alta gravedad ya que podrían aprovecharse para causar condiciones de denegación de servicio (DoS).

Vulnerabilidades de alta gravedad

* CVE-2022-2906: un problema de pérdida de memoria que afecta al procesamiento de claves cuando se usan registros TKEY en modo Diffie-Hellman con OpenSSL 3.0.0 y versiones posteriores. Un atacante remoto podría explotar el error erosionando de forma gradual la memoria disponible y provocar un bloqueo. Tras el reinicio para recuperar el sistema, el ataque podría continuar, provocando una condición de denagación de servicio.

* CVE-2022-3080: la funcionalidad de resolución podría verse bloqueada cuando las opciones ‘stale cache’ y ‘stale answers’ están habilitadas, ‘stale-answer-client-timeout’ establecida a 0, y hay un CNAME obsoleto en la memoria caché para una consulta entrante. Bajo estas condiciones, un atacante remoto podría causar una denegación de servicio a través del envío de consultas especialmente diseñadas.

* CVE-2022-38177 y CVE-2022-38178: sendos problemas de pérdida de memoria en el código de verificación DNSSEC para el algoritmo ECDSA y para el algoritmo EdDSA respectivamente, cuando no coincide la longitud de la firma. Un ataque consistente en envíos de solicitudes de resolución de destino con respuestas que tengan una firma ECDSA o EdDSA mal formada podría erosionar gradualmente la memoria disponible y desencadenar una condición de denegación de servicio por falta de recursos.

Vulnerabilidades de gravedad media

* CVE-2022-2795: un fallo en el código de resolución que podría causar que se dedique una cantidad excesiva de tiempo al procesamiento de grandes delegaciones.

* CVE-2022-2881: un error al no contemplar la longitud del contenido de las respuestas sucesivas cuando se reutiliza una conexión HTTP para solicitar estadísticas del canal de estadísticas, que podría provocar una lectura fuera del búfer o bloquear el proceso.

El ISC ha liberado actualizaciones para las versiones de BIND 9.18 (rama estable), BIND 9.19 (versión de desarrollo) y BIND 9.16 (versión de soporte extendido).

Según el ISC, no se tienen conocimientos de ningún exploit público dirigido a explotar estas vulnerabilidades. Aun así, el pasado jueves la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) alentó a los administradores de sistemas a revisar estos boletines de seguridad y aplicar los parches disponibles lo antes posible.

Más información:

CVE-2022-2795: Processing large delegations may severely degrade resolver performance

CVE-2022-2881: Buffer overread in statistics channel code

CVE-2022-2906: Memory leaks in code handling Diffie-Hellman key exchange via TKEY RRs (OpenSSL 3.0.0+ only)

CVE-2022-3080: BIND 9 resolvers configured to answer from stale cache with zero stale-answer-client-timeout may terminate unexpectedlyCVE-2022-38177: Memory leak in ECDSA DNSSEC verification codeCVE-2022-38178: Memory leaks in EdDSA DNSSEC verification code

La entrada Vulnerabilidades de alta gravedad en BIND se publicó primero en Una al Día.