El consorcio de sistemas de internet ISC, por sus siglas en inglés, ha presentado advertencias sobre varias vulnerabilidades, en su mayoría criticas las cuales afectarían directamente varias versiones de Berkeley Internet Name Domain o BIND de ISC, cuya explotación permitiría a un atacante conducir un ataque de denegación de servicios DoS.
CVE-2023-2828
Cada instancia “nombrada” configurada para ejecutarse como un resolver recursivo mantiene una base de datos caché que contiene las respuestas a las consultas que ha enviado recientemente a servidores autoritativos. El límite de tamaño de base de datos caché puede configurarse mediante la sentencia max-cache-size en el fichero de configuración, que por defecto es el 90% de la cantidad total de memoria disponible en el host. Cuando el tamaño de la caché alcanza 7/8 del límite configurado, un algoritmo de limpieza de caché comienza a eliminar los RRsets caducados y/o menos utilizados recientemente de la caché, para mantener el uso de memoria por debajo del límite configurado. La vulnerabilidad posee una puntuación de CVSSv3 7.5/10.
CVE-2023-2829
Una instancia “nombrada” configurada para ejecutarse como validación DNSSEC recursivo, con un uso agresivo de validación DNSSEC de cache (RFC 8198) opción “synth-from-dnsec” habilitada puede ser terminada remotamente mediante el uso de una zona con un registro NSEC malformado. La vulnerabilidad en cuestión posee una puntuación de CVSSv3 7.5/10.
CVE-2023-2911
Si el cupo en “clientes-recursivos” es alcanzado en un resolver de BIND 9 que se encuentre configurado con ambos (stale-answer-enables yes; y stale-answer-client-timeout 0;) una secuencia de búsquedas relacionadas con la venta de servicios “nombradas” para hacer un bucle y terminar inesperadamente debido a un desbordamiento de pila. La vulnerabilidad en cuestión posee una puntuación de CVSSv3 7.5/10.
Versiones afectadas
La vulnerabilidad rastreada como CVE-2023-2828 afecta las versiones:
- BIND
- 11.0 -> 9.16.41
- 18.0 -> 9.18.15
- 19.0 -> 9.19.13
- BIND Edición preliminar compatible
- 11.3-S1 -> 9.16.41-S1
- 18.11-S1 -> 9.18.15-S1
Se recomienda actualizar a la versión parcheada más próxima a su versión actual de BIND 9:
- 16.42
- 18.16
- 19.14
BIND Edición preliminar compatible
- 16.42-S1
- 18.16-S1
La vulnerabilidad rastreada como CVE-2023-2829 afecta las versiones:
- BIND Edición preliminar compatible
- 16.8-S1 -> 9.16.41-S1
- 18.11-S1 -> 9.18.15-S1
Se recomienda actualizar a la versión parcheada más próxima a su versión actual:
- 16.42-S1
- 18.16-S1
La vulnerabilidad rastreada como CVE-2023-2911 afecta las versiones:
- BIND:
- 16.33 -> 9.16.41
- 18.7 -> 9.18.15
- BIND Edición preliminar compatible:
- 16.33-S1 -> 9.16.41-S1
- 18.11-S1 -> 9.18.15-S1
Se recomienda actualizar a la versión parcheada mas próxima a su versión actual de BIND 9:
- 16.42
- 18.16
BIND edición preliminar compatible
- 16.42-S1
- 18.16-S1
