Vulnerabilidades de denegación de servicios (DoS) en BIND y BIND Supported Preview Edition

Se han reportado nuevos avisos de seguridad sobre cuatro vulnerabilidades que afectan a BIND y BIND Supported Preview Edition, que permitirían a un atacante realizar envíos de consultas especialmente diseñadas para provocar denegación de servicios (DoS) en el sistema afectado. 

Las vulnerabilidades reportadas se componen de 4 (cuatro) de severidad “Alta”. Las principales se detallan a continuación: 

  • CVE-2022-3094, de severidad “alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe al envío masivo de peticiones UPDATE de DNS en BIND. Esto permitiría a un atacante remoto agotar la memoria disponible del sistema afectado y así provocar una denegación de servicio (DoS). 
  • CVE-2022-3488, de severidad “alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a un error de seguridad en el procesamiento de peticiones DNS de BIND Supported Preview Edition. Esto permitiría a un atacante con acceso a un servidor DNS enviar respuestas especialmente diseñadas, provocando un fallo en el servidor afectado. 
  • CVE-2022-3736 y CVE-2022-3924, de severidad “alta”, con puntuaciones asignadas de 7.5. Estas vulnerabilidades se deben a una falla de seguridad cuando las opciones “stale cache”, stale answers” y “stale-answer-enable” están activadas en BIND 9. Esto permitiría a un atacante remoto enviar consultas especialmente diseñadas, provocando un bloqueo al sistema afectado. 

Algunos de los productos afectados son: 

  • BIND, versiones a partir de 9.16.12 hasta la versión 9.16.36. 
  • BIND, versiones a partir de 9.18. hasta la versión 9.18.10. 
  • BIND Supported Preview Edition, versiones a partir de 9.11.4-S1 hasta la versión 9.11.37-S1. 
  • BIND Supported Preview Edition, versiones a partir de 9.16.8-S1 hasta la versión 9.16.36-S1. 

Puede acceder a la lista completa de los productos afectados en el siguiente enlace.  

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace: 

Referencias:  

Compartir: