Alerta: Envenenamiento de caché en BIND 9.x

Buenas,

Ayer mismo se dio a conocer de una manera pública, al menos en la referencia de Secunia, la existencia de un problema de seguridad moderadamente crítico en BIND.

BIND (Berkeley Internet Name Domain) es un popular y extendido servidor de DNS, y a efectos prácticos, puede ser considerado un estándar de facto, a tenor de las millones de instalaciones que atesora en una escala mundial. Concebido y pensado para funcionar en UNIX, BIND se distribuye también en un kit binario que puede funcionar en Windows 2000, XP y 2003.

El problema está causado por unos identificadores transaccionales asociados a las consultas, que teóricamente son aleatorios, pero que tras un trabajo de investigación se ha demostrado que podrían ser deducidos siguiendo determinados patrones.

El carácter predecible de esos identificadores faculta que un atacante pueda envenenar la caché del servidor. Los descubridores de la debilidad afirman que las posibilidades de adivinar los identificadores para el 50% de las consultas a partir del identificador previo son del orden del 12,5%. En estas condiciones, el riesgo que entraña la debilidad no es otro que el de ataques de pharming a gran escala, ya que los atacantes potenciales podrían redirigir el tráfico originalmente destinado a un host legítimo a alguna IP que esté bajo su control.

Las versiones vulnerables son varias:

* BIND 9.0 (todas las versiones)
* BIND 9.1 (todas las versiones)
* BIND 9.2.0, 9.2.1, 9.2.2, 9.2.3, 9.2.4, 9.2.5, 9.2.6, 9.2.7, 9.2.8
* BIND 9.3.0, 9.3.1, 9.3.2, 9.3.3, 9.3.4
* BIND 9.4.0, 9.4.1
* BIND 9.5.0a1, 9.5.0a2, 9.5.0a3, 9.5.0a4, 9.5.0a5

La debilidad queda resuelta instalando las versiones parcheadas: BIND 9.2.8-P1, BIND 9.3.4-P1 y BIND 9.4.1-P1. El consejo natural que surge tras la aparición de este problema es someter a la actualización más temprana posible a los servidores BIND vulnerables que puedan figurar en nuestro inventario de software en producción.

Un saludo y feliz actualización :)