9VSA22-00705-01 CSIRT alerta de nuevas vulnerabilidades en BIND 9
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, comparte información sobre nuevas vulnerabilidades comunicadas por Internet Systems Consortium (ISC) para su producto Berkeley Internet Name Domain (BIND) 9.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, comparte información sobre nuevas vulnerabilidades comunicadas por Internet Systems Consortium (ISC) para su producto Berkeley Internet Name Domain (BIND) 9.
Vulnerabilidades
CVE-2022-2906
CVE-2022-3080
CVE-2022-38177
CVE-2022-38178
Impacto
Vulnerabilidades de riesgo alto
CVE-2022-2906: Pérdida de memoria en el code handling Diffie-Hellman key exchange via TKEY RRs (solo OpenSSL 3.0.0+).
CVE-2022-3080: Resolvers BIND 9 configurados para responder a stale cache con cero stale-answer-client-timeout pueden bloquearse inesperadamente.
CVE-2022-38177: Pérdida de memoria en ECDSA DNSSEC verification code.
CVE-2022-38178: Pérdida de memoria en EdDSA DNSSEC verification code
Productos afectados
BIND
9.9.12 -> 9.9.13
9.10.7 -> 9.10.8
9.11.3 -> 9.16.32
9.18.0 -> 9.18.6
9.19.0 -> 9.19.4
BIND Supported Preview Edition
9.11.4-S1 -> 9.11.37-S1
9.16.8-S1 -> 9.16.32-S1
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Enlaces
https://kb.isc.org/v1/docs/cve-2022-2906
https://kb.isc.org/v1/docs/cve-2022-38177
https://kb.isc.org/v1/docs/cve-2022-38178
https://kb.isc.org/v1/docs/cve-2022-3080
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2906
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3080
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-38177
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-38178
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA22-00705-01