BIND: Ataque pode causar Negação de Serviço através do Dynamic Update

Publicado por Luiz Vieira em 05/08/2009

[ Hits: 7.076 ]

Blog: http://hackproofing.blogspot.com/

 


BIND: Ataque pode causar Negação de Serviço através do Dynamic Update



Essa vulnerabilidade do BIND foi reportada por Matthias Urlichs e liberada ao conhecimento público no dia 28/07/2009. Quando explorada remotamente, causa uma negação de serviço (server crash) através de uma mensagem específica de atualização dinâmica (dynamic update message).

Essa vulnerabilidade afeta todas as versões do BIND 9 e possui um alto grau de risco, podendo ser explorada remotamente através de um exploit que já circula há um tempo pela internet.

O recebimento de uma mensagem, especialmente criada, para uma zona na qual o servidor é o principal pode causar a negação de serviço. Testes indicaram que o ataque foi formulado para uma zona da qual a máquina atacada é o servidor master. Lançando o ataque contra zonas slaves não se obteve sucesso.

Esta vulnerabilidade afeta todos os servidores que são masters para uma ou mais zonas - não é limitada àqueles que são configurados para permitir atualizações dinâmicas. Controle de acesso não ajudará muita coisa no caso de um ataque.

O "dns_db_findrdataset()" falha quando o pré-requisito da mensagem de atualização dinâmica contém um registro do tipo "ANY" e onde há ao menos um RRset para este FQDN no servidor.

O exploit pode ser encontrado aqui:

Solução

Atualização do BIND para as versões 9.4.3-P3, 9.5.1-P3 ou 9.6.1-P1, que podem ser baixadas nos endereços abaixo:

http://ftp.isc.org/isc/bind9/9.6.1-P1/bind-9.6.1-P1.tar.gz
http://ftp.isc.org/isc/bind9/9.5.1-P3/bind-9.5.1-P3.tar.gz
http://ftp.isc.org/isc/bind9/9.4.3-P3/bind-9.4.3-P3.tar.gz

Outras dicas deste autor

Análise de memória com Volatility (vídeo)

Revista Espírito Livre n°5

Lançada a edição de número 3 da Revista Espírito Livre

Análise de malware com Pyew

Slides da palestra: Segurança nos Ciclos de Desenvolvimento de Software

Leitura recomendada

Ncat com SSL

Usando o FireFox para descobrir sites fraudulentos

Backtrack 4 - 5NMP

Novo blog sobre segurança da informação

Bloquear TeamViewer e LogMeIn

  

Comentários
[1] Comentário enviado por alanbatista em 25/08/2009 - 07:22h

É mais você esqueceu de inforoma onde atualiza que no caso seria aqui.

CORREÇÕES DISPONÍVEIS
Recomenda-se a atualização para as versões disponíveis em:
Internet Systems Consortium BIND
https://www.isc.org/software/bind

Vamos atualiza ai os servidores para nos não ficarmos na mão.

vlw

[2] Comentário enviado por luizvieira em 27/08/2009 - 20:42h

Oi Alan, valeu pelo link, mas no final de minha dica em "Solução" coloquei três links para atualização.
Dê uma olhada.
Abs!



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts