Vulnerabilidades críticas são frequentemente aproveitadas em cenários de ataque, variando de negação de serviço a casos de infiltração de malware. Uma vulnerabilidade séria foi corrigida recentemente, o tipo que permitiria que invasores realizassem ataques de negação de serviço por meio do Berkeley Internet Name Domain (LIGAR) exploits. A vulnerabilidade em questão é conhecida em CVE-2016-2776, e foi descoberto durante testes internos pelo ISC.
O que é BIND?
LIGAR é um software de código aberto que implementa o Sistema de Nomes de Domínio (DNS) protocolos para a Internet. É uma implementação de referência desses protocolos, mas também é um software de nível de produção, adequado para uso em aplicações de alto volume e alta confiabilidade. O nome BIND significa “Berkeley Internet Name Domain”, porque o software foi originado no início dos anos 1980 na Universidade da Califórnia em Berkeley.
além do que, além do mais, BIND também é conhecido como o padrão para Linux e outros sistemas baseados em Unix. Isso significa que uma falha pode afetar um grande número de servidores e aplicativos. Como já foi dito, a vulnerabilidade do BIND pode ser aproveitada em ataques DoS em que várias organizações podem ser visadas. Os ataques podem levar à desativação, desligando, ou interrompendo um serviço, rede, ou site.
pesquisadores dizem que ataques ativos foram relatados em outubro 5, logo depois que uma prova de conceito foi lançada em outubro 1. além do que, além do mais, as falhas afetam as versões do BIND9, incluindo 9.9.9-P3, 9.10.x antes de 9.10.4-P3, e 9.11.x antes de 9.11.0rc3.
Mais sobre CVE-2016-2776
A vulnerabilidade pode ser ativada quando um servidor DNS constrói uma resposta a uma consulta forjada em que o tamanho da resposta ultrapassa o tamanho padrão da resposta DNS (512). Pelo visto, O ISC já corrigiu duas funções vulneráveis (dns_message_renderbegin () e dns_message_rendersection() ) para consertar a vulnerabilidade.
Conforme explicado por TrendMicro, quando um servidor DNS constrói uma resposta para uma consulta DNS, ele reserva o espaço no buffer de resposta (qual é 512 no tamanho, por padrão), irá incrementar a mensagem-> reservada pelo tamanho necessário para Resposta RR. O tamanho também aumenta em msg-> tamanho reservado, que seria o mesmo se o buffer de resposta tivesse outros registros de recursos.
Antes de remendar, o servidor não leva em consideração cabeçalhos DNS fixos de 12 bytes, que também aumenta o tráfego de resposta após renderizar os registros de recursos da consulta por meio da função dns_message_rendersection(). Portanto, se a resposta DNS(r.length) o tráfego é menor que 512 bytes (msg-> reservado), a função retornará verdadeiro, mas adicionar o cabeçalho fixo de 12 bytes fará com que o serviço seja encerrado se exceder o tamanho reservado fixo de 512 bytes.
O patch permite que os servidores diminuam o comprimento do cabeçalho DNS do comprimento total da resposta em 12 bytes. Em seguida, ele o compara com o tamanho do buffer reservado para fornecer cálculos corretos para o tamanho da resposta.
Atualizações disponíveis:
- LIGAR 9 versão 9.9.9-P3
- LIGAR 9 versão 9.10.4-P3
- LIGAR 9 versão 9.11.0rc3
- LIGAR 9 versão 9.9.9-S5