Prezados,
O CAIS está repassando o alerta do ISC (Internet Systems Consortium),
intitulado "RRSIG Queries Can Trigger Server Crash When Using Response
Policy Zones" que trata de uma vulnerabilidade no servidor DNS BIND.
Esta vulnerabilidade somente afeta usuários que estão utilizando o recurso
"Response Policy Zone" (RPZ), que permite a um atacante causar uma falha
no servidor quando é realizada uma consulta do tipo RRSIG para
substituição de RRset. RPZ é um mecanismo para modificar respostas DNS de
um servidor recursivo de acordo com um conjunto de regras definidas
localmente ou importadas de um servidor de reputação. Um dos usos do RPZ é
na substituição de RRset, retornando uma resposta positiva para uma
consulta DNS.
Até o momento, nenhum exploit para explorar esta vulnerabilidade é
conhecido. Entretanto, o CAIS recomenda que sejam implementadas as
soluções descritas na seção "CORREÇÕES DISPONÍVEIS".
SISTEMAS AFETADOS
São afetadas por esta vulnerabilidade a versões 9.8.0 do BIND.
As outras versões são imunes a esta vulnerabilidade.
CORREÇÕES DISPONÍVEIS:
Recomenda-se usar RPZ apenas para forçar respostas NXDOMAIN e não utilizar
para substituição de RRset.
Recomenda-se também a atualização do servidor BIND 9.8.0 para as versões
9.8.0-P1 ou acima.
MAIS INFORMAÇÕES
. Identificador CVE (http://cve.mitre.org):
https://www.isc.org/CVE-2011-
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.
Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
http://www.rnp.br/cais/
intitulado "RRSIG Queries Can Trigger Server Crash When Using Response
Policy Zones" que trata de uma vulnerabilidade no servidor DNS BIND.
Esta vulnerabilidade somente afeta usuários que estão utilizando o recurso
"Response Policy Zone" (RPZ), que permite a um atacante causar uma falha
no servidor quando é realizada uma consulta do tipo RRSIG para
substituição de RRset. RPZ é um mecanismo para modificar respostas DNS de
um servidor recursivo de acordo com um conjunto de regras definidas
localmente ou importadas de um servidor de reputação. Um dos usos do RPZ é
na substituição de RRset, retornando uma resposta positiva para uma
consulta DNS.
Até o momento, nenhum exploit para explorar esta vulnerabilidade é
conhecido. Entretanto, o CAIS recomenda que sejam implementadas as
soluções descritas na seção "CORREÇÕES DISPONÍVEIS".
SISTEMAS AFETADOS
São afetadas por esta vulnerabilidade a versões 9.8.0 do BIND.
As outras versões são imunes a esta vulnerabilidade.
CORREÇÕES DISPONÍVEIS:
Recomenda-se usar RPZ apenas para forçar respostas NXDOMAIN e não utilizar
para substituição de RRset.
Recomenda-se também a atualização do servidor BIND 9.8.0 para as versões
9.8.0-P1 ou acima.
MAIS INFORMAÇÕES
. Identificador CVE (http://cve.mitre.org):
https://www.isc.org/CVE-2011-
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.
Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
http://www.rnp.br/cais/
Siga @cais_rnp.
FONTE: CAIS RNP
0 comentários:
Postar um comentário