Vulnerabilidades de denegación de servicios (DoS) en BIND y BIND Supported Preview Edition

Se han reportado nuevos avisos de seguridad sobre cuatro vulnerabilidades que afectan a BIND y BIND Supported Preview Edition, que permitirían a un atacante realizar envíos de consultas especialmente diseñadas para provocar denegación de servicios (DoS) en el sistema afectado. 

Las vulnerabilidades reportadas se componen de 4 (cuatro) de severidad “Alta”. Las principales se detallan a continuación: 

• CVE-2022-3094, de severidad “alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe al envío masivo de peticiones UPDATE de DNS en BIND. Esto permitiría a un atacante remoto agotar la memoria disponible del sistema afectado y así provocar una denegación de servicio (DoS). 
• CVE-2022-3488, de severidad “alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a un error de seguridad en el procesamiento de peticiones DNS de BIND Supported Preview Edition. Esto permitiría a un atacante con acceso a un servidor DNS enviar respuestas especialmente diseñadas, provocando un fallo en el servidor afectado. 
• CVE-2022-3736 y CVE-2022-3924, de severidad “alta”, con puntuaciones asignadas de 7.5. Estas vulnerabilidades se deben a una falla de seguridad cuando las opciones “stale cache”, “stale answers” y “stale-answer-enable” están activadas en BIND 9. Esto permitiría a un atacante remoto enviar consultas especialmente diseñadas, provocando un bloqueo al sistema afectado. 

Algunos de los productos afectados son: 

• BIND, versiones a partir de 9.16.12 hasta la versión 9.16.36. 
• BIND, versiones a partir de 9.18. hasta la versión 9.18.10. 
• BIND Supported Preview Edition, versiones a partir de 9.11.4-S1 hasta la versión 9.11.37-S1. 
• BIND Supported Preview Edition, versiones a partir de 9.16.8-S1 hasta la versión 9.16.36-S1. 

Puede acceder a la lista completa de los productos afectados en el siguiente enlace.  

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace: 

• https://www.isc.org/download/ 

Referencias:  

• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-bind-4 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3094 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2022-3488 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2022-3736 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3924 
• https://kb.isc.org/v1/docs/cve-2022-3094 
• https://kb.isc.org/v1/docs/cve-2022-3488 
• https://kb.isc.org/v1/docs/cve-2022-3736 
• https://kb.isc.org/v1/docs/cve-2022-3924 
• https://www.isc.org/download/