Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades que afectan a BIND, que permitirían a un atacante realizar desbordamiento de búfer y provocar una condición de denegación de servicio (DoS) en el sistema afectado.
Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Alta”. Las mismas se detallan a continuación:
- CVE-2023-2828, de severidad “alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla de gestión del límite de memoria configurado en la instancia named de BIND y BIND Supported Preview Edition. Esto permitiría a un atacante remoto agotar la memoria disponible y provocar una condición de denegación de servicio (DoS) en los sistemas afectados.
- CVE-2023-2829, de severidad “alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla de seguridad en la validación de DNSSEC en BIND y BIND Supported Preview Edition. Esto permitiría a un atacante remoto si la configuración synth-from-dnssec se encuentra habilitada a través del uso de un registro NSEC especialmente diseñado, forzar un cierre inesperado de la instancia de named en el sistema afectado.
- CVE-2023-2911, de severidad “alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla de seguridad en el componente Recursive-clients Quota Handler de BIND y BIND Supported Preview Edition. Esto permitiría a un atacante remoto a través del envío de un valor recursive-client configurado con stale-answer-enable yes; y stale-answer-client-timeout 0; realizar un bucle y el cierre inesperado de la instancia de named en el sistema afectado.
Algunos de los productos afectados son:
- BIND, versiones desde 9.11.0 hasta 9.16.41.
- BIND, versiones desde 9.16.33 hasta 9.16.41.
- BIND Supported Preview Edition, versiones desde 9.11.3-S1 hasta 9.16.41-S1.
- BIND Supported Preview Edition, versiones desde 9.16.8-S1 hasta 9.16.41-S1.
Puede acceder a la lista completa de los productos afectados en el siguiente enlace.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias:
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-bind
- https://nvd.nist.gov/vuln/detail/CVE-2023-2828
- https://nvd.nist.gov/vuln/detail/CVE-2023-2829
- https://nvd.nist.gov/vuln/detail/CVE-2023-2911
- https://www.isc.org/download/
- https://kb.isc.org/v1/docs/cve-2023-2828
- https://kb.isc.org/v1/docs/cve-2023-2829
- https://kb.isc.org/v1/docs/cve-2023-2911