O Internet Systems Consortium (ISC) lançou atualizações de segurança para resolver duas vulnerabilidades de negação de serviço (DoS) exploráveis remotamente no conjunto de software DNS BIND.
Ambos os bugs, diz o ISC, residem em nomeado – o daemon BIND que atua tanto como um servidor de nomes autoritativo quanto como um resolvedor recursivo – e pode fazer com que ele termine inesperadamente.
A primeira das falhas, rastreada como CVE-2023-3341 (pontuação CVSS de 7,5), é descrita como um problema de esgotamento da pilha que afeta o processamento de mensagens do canal de controle. O código chama certas funções recursivamente, o que pode levar ao esgotamento da memória.
“A profundidade da recursão é limitada apenas pelo tamanho máximo do pacote aceito; dependendo do ambiente, isso pode fazer com que o código de análise de pacotes fique sem memória de pilha disponível, causando nomeado terminar inesperadamente”, observa o ISC em seu aconselhamento.
Como cada mensagem é totalmente analisada antes de seu conteúdo ser autenticado, um invasor remoto com acesso à porta TCP configurada do canal de controle pode explorar a vulnerabilidade sem uma chave RNDC válida.
Segundo o ISC, “o ataque só funciona em ambientes onde o tamanho da pilha disponível para cada processo/thread é pequeno o suficiente; o limite exato depende de múltiplos fatores e, portanto, é impossível de ser especificado universalmente.”
O problema afeta as versões 9.2.0 a 9.16.43, 9.18.x e 9.19.x do BIND e foi resolvido nas versões 9.16.44, 9.18.19 e 9.19.17 do BIND. As versões 9.9.3-S1 a 9.16.43-S1 e 9.18.0-S1 a 9.18.18-S1 da BIND Supported Preview Edition também são afetadas, com patches incluídos nas versões 9.16.44-S1 e 9.18.19-S1.
Rastreada como CVE-2023-4236 (pontuação CVSS de 7,5), a segunda falha é descrita como uma falha de afirmação no código de rede que lida com consultas DNS sobre TLS.
“Quando estruturas de dados internas são reutilizadas incorretamente sob carga significativa de consulta DNS sobre TLS”, nomeado pode falhar inesperadamente, ISC explica.
O código DNS sobre HTTPS no BIND usa uma implementação TLS diferente e não é afetado.
A falha afeta as versões 9.18.0 a 9.18.18 do BIND e as versões 9.18.11-S1 a 9.18.18-S1 do BIND Supported Preview Edition e foi corrigida com o lançamento do BIND versão 9.18.19 e do BIND Supported Preview Edition versão 9.18. 19-S1.
O ISC afirma não ter conhecimento de nenhuma dessas vulnerabilidades sendo exploradas em ataques maliciosos.