[SECURITY-L] [cais em cais.rnp.br: CAIS-Alerta:Vulnerabilidade no BIND 9]

CSIRT - UNICAMP security em unicamp.br
Seg Maio 9 10:46:19 -03 2011 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta:Vulnerabilidade no BIND 9 
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 6 May 2011 16:58:35 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----

Prezados,

O CAIS está repassando o alerta do ISC (Internet Systems Consortium), 
intitulado "RRSIG Queries Can Trigger Server Crash When Using Response 
Policy Zones" que trata de uma vulnerabilidade no servidor DNS BIND.

Esta vulnerabilidade somente afeta usuários que estão utilizando o recurso 
"Response Policy Zone" (RPZ), que permite a um atacante causar uma falha 
no servidor quando é realizada uma consulta do tipo RRSIG para 
substituição de RRset. RPZ é um mecanismo para modificar respostas DNS de 
um servidor recursivo de acordo com um conjunto de regras definidas 
localmente ou importadas de um servidor de reputação. Um dos usos do RPZ é 
na substituição de RRset, retornando uma resposta positiva para uma 
consulta DNS.

Até o momento, nenhum exploit para explorar esta vulnerabilidade é 
conhecido. Entretanto, o CAIS recomenda que sejam implementadas as 
soluções descritas na seção "CORREÇÕES DISPONÍVEIS".


SISTEMAS AFETADOS

São afetadas por esta vulnerabilidade a versões 9.8.0 do BIND.
As outras versões são imunes a esta vulnerabilidade.

CORREÇÕES DISPONÍVEIS:

Recomenda-se usar RPZ apenas para forçar respostas NXDOMAIN e não utilizar 
para substituição de RRset.

Recomenda-se também a atualização do servidor BIND 9.8.0 para as versões 
9.8.0-P1 ou acima.


MAIS INFORMAÇÕES

. Identificador CVE (http://cve.mitre.org):
  https://www.isc.org/CVE-2011-1907


O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as últimas versões e 
correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
http://www.rnp.br/cais/alertas/rss.xml

Siga @cais_rnp.


Atenciosamente,


################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBTcRTA+kli63F4U8VAQEEEQQAuxT5LKgI8xpn80SbnFbAZzfqyv1lqlBj
+0dlr5hPgGxYa63BYD/zjdFe+P27BEI2e8I+DOhxlbk28z0zayvtRx8SJrJhTAUA
PFBQFaVT5OnVJmcOECNoaoX0YmR1eHU/2hZBDgw9qJDBI+47fJho6lZOAqhDE7yF
gtj6gRPjwzQ=
=hzbv
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L