Múltiples vulnerabilidades en BIND

Fecha de publicación: 23/09/2022

Importancia:
Alta

Recursos afectados:

• BIND, versiones:
  • desde 9.18.0, hasta 9.18.6;
  • desde 9.19.0, hasta 9.19.4;
  • desde 9.8.4, hasta 9.16.32;
  • desde 9.9.12, hasta 9.9.13;
  • desde 9.10.7, hasta 9.10.8.
• BIND Supported Preview Editions, versiones:
  • desde 9.9.4-S1, hasta 9.11.37-S1;
  • desde 9.16.8-S1, hasta 9.16.32-S1.

Descripción:

Se han publicado 4 vulnerabilidades de severidad alta en BIND, que podrían permitir a un atacante dañar la memoria disponible, finalizar el proceso named o causar una fuga de memoria.

Solución:

Actualizar a:

• BIND:
  • 9.16.33;
  • 9.18.7;
  • 9.19.5.
• BIND Supported Preview Edition 9.16.33-S1.

Detalle:

• Los cambios entre OpenSSL 1.x y OpenSSL 3.0 exponen un fallo en named que provoca una pequeña fuga de memoria en el procesamiento de claves cuando se utilizan registros TKEY en modo Diffie-Hellman con OpenSSL 3.0.0 y versiones posteriores. Se ha asignado el identificador CVE-2022-2906 para esta vulnerabilidad.
• El resolver de BIND 9 podría fallar cuando la caché y las respuestas antiguas están activadas, la opción stale-answer-client-timeout está establecida en 0 y hay un CNAME antiguo en la caché para una consulta entrante. Se ha asignado el identificador CVE-2022-3080 para esta vulnerabilidad.
• El código de verificación de DNSSEC para el algoritmo ECDSA pierde memoria cuando hay un desajuste en la longitud de la firma. Se ha asignado el identificador CVE-2022-38177 para esta vulnerabilidad.
• El código de verificación de DNSSEC para el algoritmo EdDSA pierde memoria cuando hay un desajuste en la longitud de la firma. Se ha asignado el identificador CVE-2022-38178 para esta vulnerabilidad.

Etiquetas:
Actualización, DNS, SSL/TLS, Vulnerabilidad