Múltiples vulnerabilidades en BIND 

26/09/2022

Se ha reportado un nuevo aviso de seguridad sobre cuatro vulnerabilidades que afectan a BIND, que permitirían a un atacante obtener información confidencial, provocar denegación de servicio (DoS), entre otros. 

Las vulnerabilidades reportadas se componen de 4 (cuatro) de severidad “Alta”. Las principales se detallan a continuación: 

  • CVE-2022-2906, de severidad “alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a un fallo de gestión de memoria en el servicio named. Esto permitiría a un atacante realizar pérdida de memoria en el procesamiento de claves cuando se utilizan registros TKEY en modo Diffie-Hellman con OpenSSL 3.0.0 y posteriores, y así provocar eventualmente una denegación de servicio (DoS). 
  • CVE-2022-3080, de severidad “alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla en el procesamiento de consultas entrantes. Esto permitiría a un atacante provocar una denegación de servicio (DoS) de BIND 9. 
  • CVE-2022-38177, de severidad “alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a un fallo de gestión de memoria producido por el código de verificación de DNSSEC para el algoritmo ECDSA. Esto permitiría a un atacante realizar pérdida de memoria hasta provocar una denegación de servicio (DoS) por falta de recursos. 

Puede acceder a la lista completa de vulnerabilidades en el siguiente enlace. 

Las versiones afectadas son: 

  • BIND, versiones 9.18.0 a 9.18.6. 
  • BIND, versiones 9.19.0, a 9.19.4. 
  • BIND, versiones 9.8.4, a 9.16.32. 
  • BIND, versiones 9.9.12, a 9.9.13. 
  • BIND, versiones 9.10.7, a 9.10.8. 
  • BIND Supported Preview Editions, versiones 9.9.4-S1 a 9.11.37-S1. 
  • BIND Supported Preview Editions, versiones 9.16.8-S1 a 9.16.32-S1. 

Recomendamos instalar las actualizaciones correspondientes provistas por BIND en el siguiente enlace: 

Fuente: CERT-PY

https://www.cert.gov.py/noticias/multiples-vulnerabilidades-en-bind-2/