Un avviso è stato emesso dal Internet Systems Consortium (ISC) A proposito di una vulnerabilità grave che potrebbe essere sfruttato in attacchi DoS nel software BIND open-source. La vulnerabilità è stata scoperta da ricercatore di sicurezza Tony Finch della University of Cambridge, ed è stato identificato come CVE-2018-5740.
Descrizione ufficiale CVE-2018-5740
“deny-risposta-alias” è una caratteristica poco utilizzata scopo di aiutare gli operatori dei server ricorsivi proteggono gli utenti finali dagli attacchi di rebinding DNS, un potenziale metodo per aggirare il modello di sicurezza utilizzato dai browser client. Tuttavia, un difetto in questa caratteristica rende facile, quando la funzione è in uso, di sperimentare un INSISTERE errore di asserzione in name.c.
Qual è l'impatto di CVE-2018-5740?
attivazione accidentale o intenzionale del difetto descritto porterà ad un errore di asserzione PRETENDERE a nome, causando il processo chiamato a interrompere l'esecuzione e la conseguente negazione del servizio ai clienti, ISC spiegato in un avviso. Solo i server che hanno consentito esplicitamente la “deny-risposta-alias” caratteristica sono a rischio. Così, disabilitazione della funzione impedisce sfruttamento, l'organizzazione ha aggiunto.
Per contrastare l'exploit, “maggior parte degli operatori non sarà necessario apportare modifiche a meno che non stanno usando il “deny-risposta-alias” caratteristica (che è descritta nel BIND 9 Amministratore di riferimento Sezione del manuale 6.2.) “deny-risposta-alias” è disattivata per impostazione predefinita; solo configurazioni che consentono esplicitamente possono essere influenzati da questo difetto“.
Ulteriori informazioni sul software BIND
BIND è un software open-source che consente alle persone di pubblicare il loro Domain Name System (DNS) informazioni su Internet, e per risolvere le query DNS per i loro utenti. Per quanto riguarda il significato della sigla, BIND sta per “Berkeley Internet Name Domain”. storicamente, il software ha avuto origine nei primi anni 1980 presso l'Università della California a Berkeley. Sembra che sia il software DNS più diffuso su internet. Questo grande adozione potrebbe aver creato una condizione preliminare per gli attaccanti di sfruttare diverse versioni del software.
Più specificamente, ISC ha riferito che le seguenti versioni BIND sono influenzati da CVE-2018-5740:
versioni 9.7.0 — 9.8.8, 9.9.0 — 9.9.13, 9.10.0 — 9.10.8, 9.11.0 — 9.11.4, 9.12.0 — 9.12.2, e 9.13.0 — 9.13.2.
Per fortuna, non sfrutta attivi della vulnerabilità sono note. Per risolvere il problema, questa vulnerabilità può essere evitato disabilitando il “deny-risposta-alias” caratteristica, nel caso sia in uso.
In 2016, i ricercatori Trend Micro hanno portato alla luce un'altra vulnerabilità BIND che era noto come CVE-2016-2776. Questa vulnerabilità può essere attivata quando un server DNS costruisce una risposta a una query forgiato in cui la dimensione di risposta attraversa la dimensione di risposta DNS di default (512). ISC risolto rapidamente due funzioni vulnerabili (dns_message_renderbegin () e dns_message_rendersection() ) per correggere la vulnerabilità. Nonostante la reazione rapida, il difetto è stato attivamente sfruttata in attacchi.