Internet Systems Consortium (ISC) corrige falha de alta severidade DoS no software BIND DNS

A vulnerabilidade afeta apenas as versões 9.16.19, 9.17.16 do BIND 9 e a versão 9.16.19-S1 do BIND Supported Preview Edition. O ISC também forneceu soluções alternativas para essa vulnerabilidade.

Um invasor pode explorar a falha, em circunstâncias específicas, para acionar uma condição DoS, fazendo com que o processo do servidor de nomes BIND (nomeado) falhe.

“ Se o  nomeado  tenta responder por UDP com uma resposta que é maior do que a unidade de transmissão máxima da interface efetiva atual (MTU), e se a limitação da taxa de resposta (RRL) estiver ativa, uma falha de declaração é acionada (resultando na rescisão do nome processo do servidor).

Existem duas maneiras de o named exceder a interface MTU:

• Configuração direta em named.conf definindo max-udp-size para um valor maior que o MTU da interface, ou
• Path MTU discovery (PMTUD) informando à pilha de IP que ela deve usar um MTU menor para a interface e destino do que o valor max-udp-size padrão de 1232. Alguns sistemas operacionais permitem que os pacotes recebidos por outros protocolos afetem os valores PMTUD para DNS over UDP. ”

O ICS observou que a falha pode ser desencadeada por configuração incorreta ou por exploração deliberada, mas também pode ser desencadeada durante condições normais de operação,

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) publicou um comunicado de segurança para alertar sobre essa vulnerabilidade.

“O Internet Systems Consortium (ISC) lançou um comunicado de segurança que aborda uma vulnerabilidade que afeta várias versões do ISC Berkeley Internet Name Domain (BIND). Um invasor remoto pode explorar esta vulnerabilidade para causar uma condição de negação de serviço. ” lê o comunicado publicado pela CISA. “A CISA incentiva os usuários e administradores a revisar o comunicado do ISC  CVE-2021-25218  e aplicar as atualizações ou soluções alternativas necessárias.”

No momento em que este artigo foi escrito, o ICS não estava ciente de ataques que exploravam a falha acima.

Fonte: https://securityaffairs.co/