MĂșltiples vulnerabilidades en BIND 9
Jue, 21/09/2023 – 12:11
Jue, 21/09/2023 – 12:11
Recursos Afectados
- Versiones de BIND:
- desde 9.2.0 hasta 9.16.43;
- desde 9.18.0 hasta 9.18.18;
- desde 9.19.0 hasta 9.19.16;
- no se evaluaron las versiones anteriores a la 9.11.37.
- Versiones de BIND Supported Preview Edition:
- desde 9.9.3-S1 hasta 9.16.43-S1;
- desde 9.18.0-S1 hasta 9.18.18-S1;
- no se evaluaron las versiones anteriores a la 9.11.37-S1.
DescripciĂłn
Los investigadores, Eric Sesterhenn, de X41 D-Sec y Robert Story, de USC/ISI DNS, han reportado 2 vulnerabilidades de severidad alta, cuya explotaciĂłn podrĂa causar una finalizaciĂłn no controlada de las llamadas a la funciĂłn named.
4 – Alta
SoluciĂłn
Actualizar a las siguientes versiones:
- BIND:
- 9.16.44;
- 9.18.19;
- 9.19.17.
- BIND Supported Preview Edition:
- 9.16.44-S1;
- 9.18.19-S1.
Detalle
- Mediante el envĂo de un mensaje especialmente diseñado a travĂ©s del canal de control, un atacante podrĂa provocar que el cĂłdigo de anĂĄlisis de paquetes se quede sin memoria disponible, provocando que named finalice inesperadamente. Se ha asignado el identificador CVE-2023-3341 para esta vulnerabilidad.
- Un fallo en el cĂłdigo de red que gestiona las consultas DNS-over-TLS podrĂa causar que named termine inesperadamente debido a un fallo de aserciĂłn. Esto ocurre cuando las estructuras de datos internas se reutilizan incorrectamente bajo una carga significativa de consultas DNS-over-TLS. Se ha asignado el identificador CVE-2023- 4236 para esta vulnerabilidad.
Listado de referencias
Etiquetas
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.