DoS en BIND 9

Se ha publicado una vulnerabilidad en BIND 9 que permite a un atacante remoto provocar un crash del servidor de nombres maestro.

Normalmente se mantiene el servidor maestro en el interior de nuestra red, por lo que se evita que los clientes puedan realizar peticiones sobre el servidor maestro. El esquema a seguir sería manteniendo los servidores esclavos en una DMZ y el maestro en nuestra red interna:

Esquema con los servidores esclavos en una DMZ y el master DNS en una red privada

Aunque el problema no nos afecte, conviene mantener actualizado el sistema. Su utilizamos el servidor named de paquetes, CentOS ya ha publicado una versión con el patch:

# rpm -qi bind
Name        : bind                         Relocations: (not relocatable)
Version     : 9.3.4                             Vendor: CentOS
Release     : 10.P1.el5_3.3                 Build Date: Thu 30 Jul 2009 02:54:44 AM CEST
Install Date: Thu 30 Jul 2009 07:51:15 AM CEST      Build Host: builder10.centos.org
Group       : System Environment/Daemons    Source RPM: bind-9.3.4-10.P1.el5_3.3.src.rpm
Size        : 2210208                          License: BSD-like
Signature   : DSA/SHA1, Thu 30 Jul 2009 03:05:21 AM CEST, Key ID a8a447dce8562897
URL         : http://www.isc.org/products/BIND/
Summary     : The Berkeley Internet Name Domain (BIND) DNS (Domain Name System) server.
Description :
BIND (Berkeley Internet Name Domain) is an implementation of the DNS
(Domain Name System) protocols. BIND includes a DNS server (named),
which resolves host names to IP addresses; a resolver library
(routines for applications to use when interfacing with DNS); and
tools for verifying that the DNS server is operating properly.

Lo podemos ver en el changelog:

# rpm -q --changelog bind | head
* Thu Jul 30 2009 Adam Tkac <atkac redhat com> 30:9.3.4-10.P1.3
- fix named_sdb as well (CVE-2009-0696, #514292)

* Thu Jul 30 2009 Tomas Hoger <thoger redhat com> 30:9.3.4-10.P1.2
- security fix for remote DoS (CVE-2009-0696, #514292)

* Wed Jun 10 2009 Adam Tkac <atkac redhat com> 30:9.3.4-10.P1.1
- handle unknown DLV algorithms well (#504794)

* Tue Jan 06 2009 Adam Tkac <atkac redhat com> 30:9.3.4-10.P1

De todas formas, con daemontools, aunque el servidor DNS se cayera por este bug sería automáticamente rearrancado siendo su caída un corte mucho menor que si un operador tuviera que acceder al sistema para volver a arrancarlo.

Relacionados

• Vistas para las zonas DNS
• Transferéncias de zonas DNS en BIND
• Sobrescribir un registro DNS en un forwarder
• named: the working directory is not writable
• Exploit de BIND 9 – Dynamic Update DoS