[SECURITY-L] [cais em cais.rnp.br: CAIS-Alerta: Consultas RRSIG e RRSETs extensas e cache negativo podem paralisar o servio named]

CSIRT - UNICAMP security em unicamp.br
Seg Maio 30 14:37:22 -03 2011 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Consultas RRSIG e RRSETs extensas e cache negativo podem paralisar o serviço named
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 27 May 2011 17:13:46 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----

Prezados,
 
O CAIS está repassando o alerta do ISC (Internet Systems Consortium), 
intitulado "Large RRSIG RRsets and Negative Caching can crash named" que 
trata de uma vulnerabilidade no servidor DNS BIND.
 
Esta vulnerabilidade afeta servidores de DNS que utilizam BIND 9 e são 
configurados como "caching resolver". O armazenamento de uma resposta 
negativa de uma consulta a um domínio executada com um RRSet muito 
extenso, paralisa o serviço named (BIND 9) devido à um erro de verificação 
no tamanho de buffer.
 
Esta vulnerabilidade pode ser explorada remotamente, o que pode ser feito, 
por exemplo, por meio de malwares que façam com que os clientes consultem 
domínios cujos servidores estejam configurados para enviar respostas 
construídas especialmente para essa finalidade.
 
Uma medida paleativa é restringir o acesso ao servidor de DNS de cache. 
Entretanto, o CAIS recomenda que sejam implementadas as soluções descritas 
na seção "CORREÇÕES DISPONÍVEIS".
 
 
SISTEMAS AFETADOS
 
São afetadas por esta vulnerabilidade as seguintes versões do BIND 9:
 . 9.4-ESV-R3 e anteriores
 . 9.6-ESV-R2 e anteriores
 . 9.6.3 e anteriores
 . 9.7.1 e anteriores
 . 9.8.0 e anteriores
 
 
CORREÇÕES DISPONÍVEIS:
 
Recomenda-se a atualização do servidor BIND 9 para as versões
9.4-ESV-AR4-P1, 9.6-ESV-R4-P1, 9.7.3-P1, 9.8.0-P2 ou superiores.
 
 
MAIS INFORMAÇÕES
 
. Large RRSIG RRsets and Negative Caching can crash named
  http://www.isc.org/software/bind/advisories/cve-2011-1910
 
Identificador CVE (http://cve.mitre.org):
 
CVE-2011-1910
 
 
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.
 
Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
http://www.rnp.br/cais/alertas/rss.xml
 
Siga @cais_rnp.
 
 
Atenciosamente,


################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBTeAGJOkli63F4U8VAQHNCAP/Z9tMYI6PmRdxbjDjTtecbDRScvAoJf7l
8jndzgJ+b6X7Tje4NEBpk4SrgxapNKjw3eWwCkLZfaA8nNWuXIizPTQQFXUhYPUL
IyF07T3/LhK4vywY8CZWdSz3t6RxtPMzkW4ONTinJprticvV99co2FuVij5UOEl+
RbWEUYxrSDY=
=QdXZ
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L