Vulnerabilidad en BIND, el servidor DNS mas usado

 

El Internet Systems Consortium (ISC), patrocinador del servidor DNS más
usado, BIND, informa sobre una vulnerabilidad encontrada en la rama 9
del producto. Aunque matiza que dicha vulnerabilidad únicamente afecta
a usuarios que utilicen la característica RPZ.

Normalmente, los servidores de nombres configurados para usar
recursividad reenvían sus respuestas al servidor que origina la
respuesta. RPZ (Response Policy Zones) es un mecanismo implementado
por BIND 9.8.0 para modificar en los servidores de nombres recursivos
las respuestas de acuerdo a un conjunto de reglas definidas local o
remotamente (importadas de un servidor en el que se confíe).

Para utilizar RPZ, BIND debe ser compilado con las opciones
“–enable-rpz-nsip” o “–enable-rpz-nsdname”. Esto permite utilizar la
directiva “response-policy” en la configuración. Puede ser utilizado
para reemplazar el Resource Record Set (RRset). Se trata el conjunto
de todos los registros para un tipo concreto (A, MX, NS…) para un
dominio. Por ejemplo RRSIG es un registro de firma utilizado en DNSSEC.

Cuando se utiliza RPZ, una consulta de tipo RRSIG para un nombre que
haya sido configurado a través de las políticas RPZ para que se
reemplace su RRset, hará que el servidor deje de responder.

Actualmente no se conocen exploits que se aprovechen de esta
vulnerabilidad aunque sí es cierto que algunos validadores DNSSEC envían
legítimamente consultas del tipo RRSIG, pudiendo causar la denegación de
servicio.

Como solución, ISC aconseja evitar el uso de RPZ para realizar
reemplazos RRset.

A esta vulnerabilidad se le ha asignado el CVE-2011-1907.
Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies