Existe una severa vulnerabilidad en el ampliamente desplegado software BIND DNS (sistema de nombres de dominio), la cual puede permitir a un atacante forzar a un servidor remoto para congelarlo, y así detener el procesamiento de solicitudes. El error está en varias versiones recientes del software BIND.
BIND es un paquete de DNS muy popular, el cual es mantenido por el Consocio de Sistemas de Internet (Internet Systems Consortium, ISC) y es probablemente el software DNS mas ampliamente desplegado en el mundo. El ISC advirtió en un comunicado esta semana, que la vulnerabilidad puede considerarse de gran riesgo y aquellas organizaciones que ejecutan BIND 9.7.1 ó 9.7.2 deben actualizar sus sistemas de inmediato a BIND 9.7.3.
“Cuando un servidor autorizado procesa una transferencia exitosa de IXFR o una actualización dinámica, hay un pequeño intervalo de tiempo durante el cual IXFR/actualización junto con una consulta pueden causar un bloqueo. Este bloqueo puede causar que el servidor detenga el proceso de todas las peticiones. Una tasa de consulta alta y/o una tasa de actualización alta, incrementará la probabilidad de esta condición”, dijo un asesor de ISC.
El grupo señaló que las organizaciones que ejecutan las versiones vulnerables deben instalar BIND 9.7.3, o bien implementar una de las soluciones sugeridas, dependiendo de las necesidades de la organización.
“ISC no fue capaz de reproducir este defecto en 9.7.2 usando -n1, lo que provoca la utilización de un único proceso, evitando así el bloqueo. Si su servidor es suficientemente poderoso para servir sus datos con un único procesador, ésta es la opción más rápida para implementar hasta que se tenga tiempo para realizar la actualización2, agregó el asesor.
BIND (Berkeley Internet Name Domain) es una implementación de servidor de nombre libre y de código abierto, es usado por organizaciones alrededor del mundo. La versión de producción actual es 9.7.3, la cual no es vulnerable al error de DoS, y 9.8.0rc1, una versión candidata para la siguiente versión, también está disponible y no es vulnerable a este error.
Fuente: Threat Post
