vulnerabilità critiche sono spesso sfruttate in scenari di attacco, variabile da denial-of-service per i casi di infiltrazione di malware. Una grave vulnerabilità è stata recentemente patchato, il tipo che avrebbe permesso agli aggressori di effettuare attacchi di tipo denial-of-service attraverso il Berkeley Internet Name Domain (BIND) gesta. La vulnerabilità in questione è conosciuta sotto CVE-2016-2776, ed è stato scoperto durante i test interno dalla ISC.
Che cosa è BIND?
BIND è un software open source che implementa il Domain Name System (DNS) protocolli per Internet. Si tratta di un'implementazione di riferimento di tali protocolli, ma è anche un software di produzione-grade, adatto per l'uso in applicazioni ad alto volume e alta affidabilità. Il nome BIND sta per “Berkeley Internet Name Domain”, perché il software ha avuto origine nei primi anni 1980 presso l'Università della California a Berkeley.
In aggiunta, BIND è anche conosciuto come lo standard per Linux e altri sistemi basati su Unix. Ciò significa che un difetto può avere un impatto di un gran numero di server e applicazioni. Come già affermato, la vulnerabilità BIND potrebbe essere sfruttato negli attacchi DoS in cui diverse organizzazioni possono essere mirati. Gli attacchi potrebbero portare alla disattivazione, chiudere, o l'interruzione di un servizio, rete, o al sito web.
ricercatori dicono che gli attacchi attivi sono stati segnalati ottobre 5, poco dopo un proof-of-stato rilasciato ottobre 1. In aggiunta, i difetti riguardano versioni di Bind9 tra cui 9.9.9-P3, 9.10.x prima 9.10.4-P3, e 9.11.x prima 9.11.0rc3.
Di più su CVE-2016-2776
La vulnerabilità può essere attivata quando un server DNS costruisce una risposta a una query forgiato in cui la dimensione di risposta attraversa la dimensione di risposta DNS di default (512). Apparentemente, ISC ha già fissato due funzioni vulnerabili (dns_message_renderbegin () e dns_message_rendersection() ) per correggere la vulnerabilità.
Come spiegato da TrendMicro, quando un server DNS costruisce una risposta per una query DNS, essa riserva lo spazio nel buffer di risposta (che è 512 in misura, Per impostazione predefinita,), che incrementerà il msg> riservato dalle dimensioni richieste per risposta RR. La dimensione aggiunge anche nel msg> dimensione riservata, che sarebbe lo stesso se il buffer di risposta ha altri Records di risorse.
prima patch, il server non prende 12 byte fissi intestazioni DNS in considerazione, che aggiunge anche al traffico di risposta dopo il rendering i record di risorse da Query attraverso la funzione dns_message_rendersection(). Quindi, se la risposta DNS(r.length) il traffico è inferiore a 512 byte (msg> riservata), la funzione restituirà true, ma aggiungendo l'header 12 byte fisso causerà il servizio di terminare se supera la dimensione fissa riservate 512 byte.
La patch consente ai server di diminuire la lunghezza dell'intestazione DNS dalla lunghezza risposta totale 12 byte. Poi si confronta con la dimensione del buffer riservata per fornire calcoli corretti per la dimensione di risposta.
aggiornamenti disponibili:
- BIND 9 versione 9.9.9-P3
- BIND 9 versione 9.10.4-P3
- BIND 9 versione 9.11.0rc3
- BIND 9 versione 9.9.9-S5