-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

CAIS-Alerta [24/08/2021]: Vulnerabilidade em validação de MTU com RRL no BIND 9

Prezados,

O CAIS alerta para vulnerabilidade recente envolvendo o servidor de nomes
(DNS) BIND 9. A severidade desta vulnerabilidade é "Alta". Até o momento da
divulgação deste alerta, não foram divulgados códigos de exploração.


Descrição

Quando a limitação da taxa de respostas (RRL) estiver configurada, uma
tentativa de resposta via UDP que exceda a Unidade Máxima de Transmissão
(MTU) pode levar ao encerramento do processo named (BIND).

A RRL vem configurada por padrão no view CHAOS (CH) "_bind".

O named pode exceder a MTU da interface de rede em duas circunstâncias:

 - - A configuração max-udp-size no named.conf indicar um valor maior que a
MTU da interface;

 - - A Path MTU Discovery (PMTUD) orientar o stack IP a utilizar uma MTU menor
que o valor padrão do max-udp-size, de 1232. Certos sistemas operacionais
permitem que pacotes de outros protocolos afetem os valores da PMTUD para
DNS sobre UDP.

Caso o named receba uma consulta que leve a um dos cenários acima, o
processo named será terminado por uma falha de validação (assertion check).
Estes cenários podem ocorrer durante a operação normal do servidor ou como
resultado de uma ação deliberada (ataque).

Sistemas impactados
BIND 9

Versões afetadas
BIND 9.16.19
BIND 9.17.16
BIND Supported Preview Edition 9.16.19-S1

Correções disponíveis
BIND 9.16.20
BIND 9.17.17
BIND Supported Preview Edition 9.16.20-S1

Além da atualização, a desativação da RRL em todos os views (incluindo o
view _bind na qual ela vem pré-configurada) é considerada um workaround
para mitigar esta falha.


Identificadores CVE (http://cve.mitre.org)
CVE-2021-25218

Mais informações
https://kb.isc.org/docs/cve-2021-25218


O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.


Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!!
Twitter: @RedeRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais@cais.rnp.br       http://www.rnp.br/servicos/seguranca  #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: OpenPGP.js v2.6.2
Comment: https://openpgpjs.org
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=jZ8P
-----END PGP SIGNATURE-----