9VSA22-00705-01 CSIRT alerta de nuevas vulnerabilidades en BIND 9

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, comparte información sobre nuevas vulnerabilidades comunicadas por Internet Systems Consortium (ISC) para su producto Berkeley Internet Name Domain (BIND) 9.

Vulnerabilidades

CVE-2022-2906

CVE-2022-3080

CVE-2022-38177

CVE-2022-38178

Impacto

Vulnerabilidades de riesgo alto

CVE-2022-2906: Pérdida de memoria en el code handling Diffie-Hellman key exchange via TKEY RRs (solo OpenSSL 3.0.0+).

CVE-2022-3080: Resolvers BIND 9 configurados para responder a stale cache con cero stale-answer-client-timeout pueden bloquearse inesperadamente.

CVE-2022-38177: Pérdida de memoria en ECDSA DNSSEC verification code.

CVE-2022-38178: Pérdida de memoria en EdDSA DNSSEC verification code

Productos afectados

BIND

9.9.12 -> 9.9.13

9.10.7 -> 9.10.8

9.11.3 -> 9.16.32

9.18.0 -> 9.18.6

9.19.0 -> 9.19.4

BIND Supported Preview Edition

9.11.4-S1 -> 9.11.37-S1

9.16.8-S1 -> 9.16.32-S1

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Enlaces

https://kb.isc.org/v1/docs/cve-2022-2906

https://kb.isc.org/v1/docs/cve-2022-38177

https://kb.isc.org/v1/docs/cve-2022-38178

https://kb.isc.org/v1/docs/cve-2022-3080

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2906

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3080

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-38177

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-38178

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA22-00705-01