RNP > Serviços > Segurança em redes > Alertas do CAIS

CAIS-Alerta: Vulnerabilidade no BIND 9

BIND 9 Security Advisory: RRSIG Queries Can Trigger Server Crash

[RNP, 05.05.2011-, revisão 01]

O CAIS está repassando o alerta do ISC (Internet Systems Consortium), intitulado "RRSIG Queries Can Trigger Server Crash When Using Response Policy Zones" que trata de uma vulnerabilidade no servidor DNS BIND.

Esta vulnerabilidade somente afeta usuários que estão utilizando o recurso "Response Policy Zone" (RPZ), que permite a um atacante causar uma falha no servidor quando é realizada uma consulta do tipo RRSIG para substituição de RRset. RPZ é um mecanismo para modificar respostas DNS de um servidor recursivo de acordo com um conjunto de regras definidas localmente ou importadas de um servidor de reputação. Um dos usos do RPZ é na substituição de RRset, retornando uma resposta positiva para uma consulta DNS.

Até o momento, nenhum exploit para explorar esta vulnerabilidade é conhecido. Entretanto, o CAIS recomenda que sejam implementadas as soluções descritas na seção "CORREÇÕES DISPONÍVEIS"

Sistemas afetados

São afetadas por esta vulnerabilidade a versões 9.8.0 do BIND. As outras versões são imunes a esta vulnerabilidade.

Correções disponíveis

Recomenda-se usar RPZ apenas para forçar respostas NXDOMAIN e não utilizar para substituição de RRset.

Recomenda-se também a atualização do servidor BIND 9.8.0 para as versões 9.8.0-P1 ou acima.

Mais informações

Identificador CVE (http://cve.mitre.org):

CVE-2011-1907

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
http://www.rnp.br/cais/alertas/rss.xml
Siga @cais_rnp.

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais