BIND 9 afectado por una vulnerabilidad que permitiría una denegación de servicio

Share this…

BIND 9 es el popular servidor DNS para sistemas Linux que permite asociar un nombre de dominio a una dirección IP. Este software es ampliamente utilizado tanto a nivel de empresas donde queremos tener varios dominios internos como también en Internet, ya que es una de las soluciones más robustas y estables. Ahora se ha detectado una vulnerabilidad catalogada como grave que permitiría provocar una denegación de servicio en el sistema.

Los servidores DNS configurados con BIND 9 que utilizan DNSSEC y que realizan validaciones a través del parámetro “dnssec-validation auto” o a través del parámetro “dnssec-validation yes” son vulnerables a este fallo de seguridad. La consecuencia de explotar este fallo de seguridad es que un atacante remoto podría interrumpir deliberadamente el servicio de DNS al realizar una consulta recursiva y provocar que una solicitud sea redirigida a una zona maliciosa.

BIND 9 afectado por una vulnerabilidad que permitiría una denegación de servicio
BIND 9 afectado por una vulnerabilidad que permitiría una denegación de servicio

Versiones BIND afectadas

Las versiones de BIND 9 afectadas por este fallo de seguridad catalogado como grave son las siguientes:

  • BIND 9.7.1 hasta 9.7.7
  • BIND 9.8.0 hasta 9.8.8
  • BIND 9.9.0 hasta 9.9.7
  • BIND 9.10.0 hasta 9.10.2-P1

CVE asignado a esta vulnerabilidad

El CVE asignado a esta vulnerabilidad es el CVE-2015-4620, os recomendamos acceder a este enlace donde encontraréis más información sobre este fallo de seguridad.

El parche ya se encuentra disponible

Actualmente los desarrolladores de BIND 9 ya han lanzado un parche que soluciona este fallo de seguridad, dependiendo de la versión que utilicemos, podemos aplicar un parche u otro. Los parches publicados son los correspondientes a las últimas versiones e incorporan la solución al problema:

  • BIND 9 version 9.9.7-P1
  • BIND 9 version 9.10.2-P2

Cómo mitigar el problema sin actualizar

Si estamos utilizando una versión más antigua que BIND 9.9 y no queremos actualizar nuestro software, una contramedida efectiva sería deshabilitar el protocolo DNSSEC, sin embargo en caso de que lo estemos utilizando esta solución no nos valdría y tendríamos que actualizar.

Os recomendamos acceder a nuestro manual de configuración de BIND 9 donde veréis cómo es la puesta en marcha de este conocido servidor DNS. También podéis acceder a nuestra sección Linux y sección de redes donde tenemos una gran cantidad de manuales para sacar el máximo partido a tu red.

Fuente:https://www.redeszone.net/