O Internet Systems Consortium (ISC) lançou patches para três vulnerabilidades de negação de serviço (DoS) exploráveis remotamente no conjunto de software DNS BIND.
Rastreados como CVE-2023-2828, CVE-2023-2829 e CVE-2023-2911, esses problemas de alta gravidade podem ser explorados para esgotar a memória disponível ou podem causar nomeado – o daemon do BIND que funciona tanto como um resolvedor recursivo quanto como um servidor de nomes autorizado – travar.
CVE-2023-2828, ISC explica em um consultorimpacta um nomeado função responsável por limpar o cache de memória para evitar que atinja o valor máximo permitido (o padrão é 90% da quantidade total de memória disponível no host).
“Descobriu-se que a eficácia do algoritmo de limpeza de cache usado em nomeado pode ser severamente diminuído consultando o resolvedor para RRsets específicos em uma determinada ordem”, observa o ISC.
Um invasor pode explorar a vulnerabilidade para fazer com que a quantidade de memória usada pelo nomeado exceder o máximo permitido. Se a configuração padrão for usada, o invasor poderá esgotar toda a memória disponível no host, causando uma condição DoS.
A segunda falha, CVE-2023-2829, afeta apenas nomeado instâncias “configuradas para serem executadas como um resolvedor recursivo de validação de DNSSEC com a opção Uso Agressivo de Cache Validado por DNSSEC (RFC 8198) habilitada”.
Um invasor remoto pode enviar consultas específicas ao resolvedor, causando nomeado terminar inesperadamente. A opção vulnerável é ativada por padrão nas versões BIND 9.18 e 9.18-S e mais recentes, mas foi desativada em versões anteriores, a menos que seja explicitamente ativada. Desativar a opção evita o problema.
O terceiro bug, CVE-2023-2911, afeta os resolvedores BIND 9 que atingem a cota de clientes recursivos, se eles estiverem configurados para retornar respostas em cache ‘obsoletas’ com o ‘tempo limite do cliente obsoleto 0;’ opção.
A falha pode ser acionada com uma sequência de pesquisas relacionadas ao serviço obsoleto, causando nomeado fazer um loop e travar. A vulnerabilidade pode ser evitada alterando o valor de ‘stale-answer-client-timeout’.
“Usuários das versões 9.18.10, 9.16.36, 9.16.36-S1 ou anteriores que não conseguem atualizar devem definir obsoleto-resposta-cliente-tempo limite para desligado; usar um valor diferente de zero com essas versões mais antigas deixa o named vulnerável a CVE-2022-3924”, explica o ISC.
Todas as três vulnerabilidades foram corrigidas com o lançamento das versões BIND 9.16.42, 9.18.16 e 9.19.14, e versões BIND Supported Preview Edition 9.16.42-S1 e 9.18.16-S1.
O ISC diz que não tem conhecimento de nenhuma dessas falhas exploradas em ataques.