Ubuntu soluciona varias vulnerabilidades de BIND
BIND, también conocido como Berkeley Internet Name Domain, es un software de servidor DNS ampliamente utilizado que traduce nombres de dominio en direcciones IP numéricas y viceversa. Las organizaciones, los proveedores de servicios de Internet (ISP) y los administradores de red despliegan servidores BIND en Internet para gestionar los registros DNS y facilitar una comunicación eficaz en la red. Recientemente, se han descubierto una serie de vulnerabilidades en BIND 9, la última versión, que han suscitado inquietud sobre posibles exploits y la necesidad de actuar con rapidez para protegerse de ellos.
En respuesta a estos hallazgos, el equipo de seguridad de Ubuntu ha publicado actualizaciones de seguridad cruciales en varias versiones de Ubuntu, incluidas 22.04 LTS, 20.04 LTS y 23.10, con el objetivo de mitigar los riesgos que plantean estas vulnerabilidades.
Descripción general de las vulnerabilidades de BIND
Las vulnerabilidades identificadas en bind9 abarcan una serie de problemas, cada uno con sus propias implicaciones potenciales para la seguridad del sistema.
Análisis de grandes mensajes DNS (CVE-2023-4408)
Descubierta por Shoham Danino, Anat Bremler-Barr, Yehuda Afek y Yuval Shavitt, esta vulnerabilidad gira en torno a la mala gestión del análisis de mensajes DNS de gran tamaño. La explotación de este fallo podría provocar el consumo de recursos, desencadenando así una denegación de servicio.
Validación de mensajes DNSSEC (CVE-2023-50387)
Elias Heftrig, Haya Schulmann, Niklas Vogel y Michael Waidner descubrieron una vulnerabilidad en el manejo de mensajes DNSSEC por parte de BIND 9. Aprovechando este fallo, los atacantes podían provocar el agotamiento de los recursos, dando lugar a una situación de denegación de servicio.
NSEC3 Prueba del cerrador más próximo (CVE-2023-50868)
Esta vulnerabilidad está relacionada con la gestión incorrecta de la preparación de pruebas del cerrador más cercano NSEC3. Los atacantes podrían aprovechar esta debilidad para agotar los recursos, lo que en última instancia conduciría a una denegación de servicio.
Consultas de zona inversa con nxdomain-redirect activado (CVE-2023-5517)
La gestión incorrecta de las consultas de zona inversa de BIND9 en determinadas condiciones, como cuando nxdomain-redirect está activado, puede ser aprovechada por atacantes remotos para bloquear el servidor, facilitando así un ataque de denegación de servicio.
Patrones específicos de consulta recursiva (CVE-2023-6516)
Existe una vulnerabilidad en el manejo de BIND 9 de ciertos patrones de consulta recursivos. Los atacantes podrían explotar este defecto para disparar el consumo de memoria, causando posteriormente una denegación de servicio.
Todas las vulnerabilidades tienen una puntuación CVSS v3 de 7,5 (Alta) excepto CVE-2023-50868, ya que su puntuación aún está pendiente.
Estrategias de mitigación
Para hacer frente a las vulnerabilidades de BIND, se han lanzado actualizaciones que elevan la versión de software de bind9 a 9.6.48. Estas actualizaciones no sólo corrigen los problemas de seguridad, sino que también incluyen correcciones de errores, introducen nuevas funciones y pueden traer consigo algunos cambios incompatibles. Es imperativo que los administradores y usuarios de bind9 apliquen rápidamente estas actualizaciones a sus sistemas para mitigar los riesgos que plantean los posibles exploits. También se han publicado actualizaciones de seguridad de Debian para corregir estas vulnerabilidades.
Fuente: USN-6642-1, USN-6633-1