Publicado el 27 abril 2019

Múltiples vulnerabilidades en BIND

Fecha de publicación: 25/04/2019

Importancia:
Alta

Recursos afectados:

• BIND, versiones desde la 9.9.0 hasta la 9.10.8-P1, desde la 9.11.0 hasta la 9.11.6, desde la 9.12.0 hasta la 9.12.4 y 9.14.0.
• BIND 9 Supported Preview Edition, versiones desde la 9.9.3-S1 hasta la 9.11.5-S3, y 9.11.5-S5. Las versiones desde la 9.13.0 hasta la 9.13.7 de la rama de desarrollo 9.13 también se ven afectadas. Las versiones anteriores a BIND 9.9.0 no han sido evaluadas por la vulnerabilidad CVE-2018-5743.
• BIND Supported Preview Edition, versiones desde la 9.10.5-S1 hasta la 9.11.5-S5.

Descripción:

Se han publicado múltiples vulnerabilidades en BIND que afectan a varios de sus productos, 1 de severidad alta y 2 de severidad media.

Solución:

En función de la versión afectada actualizar a la versión que corresponda.

• BIND 9.11.5-S6
• BIND 9.11.6-S1
• BIND 9.11.6-P1
• BIND 9.12.4-P1
• BIND 9.14.1

Detalle:

• Por diseño, BIND limita el número de clientes TCP que se pueden conectar de forma simultánea, este parámetro es ajustable, pero si no se ajusta tiene un valor conservador. Un error en el código podría permitir a un atacante aumentar el número de conexiones TCP simultáneas más allá del límite, originando un agotamiento del conjunto de descriptores de archivos disponibles para las conexiones de red. Se ha reservado el identificador CVE-2018-5743 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han reservado los identificadores CVE-2019-6467 y CVE-2019-6468.

Fuente: INCIBE