-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [17/03/2022]: Vulnerabilidades de envenenamento de cache e negação de serviço no BIND 9 Prezados, O CAIS alerta para quatro vulnerabilidades no servidor de nomes (DNS) ISC BIND que podem permitir ataques de envenenamento de cache ou de negação de serviço (o impacto é diferente para cada uma delas). As falhas já foram corrigidas por atualizações do software. As versões afetadas e atualizações disponíveis estão referenciadas abaixo. Descrição Quatro vulnerabilidades e suas correções foram divulgadas conjuntamente pela ISC, responsável pelo BIND. Até a última revisão deste alerta, não havia sido confirmada a existência de códigos capazes de explorar estas vulnerabilidades. As quatro vulnerabilidades e seus impactos são: CVE-2022-0667 e CVE-2022-0635: Certas requisições, inclusive na configuração padrão do BIND, podem levar a uma falha de validação (assertion check), terminando o processo do BIND e levando à indisponibilidade do serviço. CVE-2022-0396: Um erro que pode levar o BIND a manter uma sessão TCP aberta por tempo indeterminado, criando indisponibilidade de serviço. A falha não existe na configuração padrão, pois o parâmetro keep-response-order precisa estar ligado. CVE-2021-25220: Servidores de encaminhamento (Forwarder) podem registrar em cache uma informação incorreta durante a resolução recursiva, permitindo ataques de envenenamento de cache em certas configurações específicas, incluindo encaminhamento global na configuração padrão. Um ataque de envenenamento de cache pode fazer com que o servidor retorne respostas incorretas e direcione tráfego para outro destino. Servidores exclusivamente autoritativos não são impactados. Sistemas impactados ISC BIND Versões afetadas [CVE-2022-0635 / CVE-2022-0667] 9.18.0 [CVE-2021-25220] 9.11.0 a 9.11.36 9.12.0 a 9.16.26 9.17.0 a 9.18.0 Supported Preview Edition: 9.11.4-S1 a 9.11.36-S1 Supported Preview Edition: 9.16.8-S1 a 9.16.26-S1 [CVE-2022-0396] 9.16.11 a 9.16.26 9.17.0 a 9.18.0 Supported Preview Edition: 9.16.11-S1 a 9.16.26-S1 Correções disponíveis BIND 9.11.37 BIND 9.16.27 BIND 9.18.1 Identificadores CVE (http://cve.mitre.org) CVE-2021-25220 CVE-2022-0396 CVE-2022-0635 CVE-2022-0667 Mais informações https://kb.isc.org/docs/CVE-2021-25220 https://kb.isc.org/docs/cve-2022-0396 https://kb.isc.org/docs/cve-2022-0635 https://kb.isc.org/docs/cve-2022-0667 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!! Twitter: @RedeRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: OpenPGP.js v2.6.2 Comment: https://openpgpjs.org wsFcBAEBCAAQBQJiM5o3CRDU96v9U5pXgAAAdPkQAIvkPCnBQQW0oSWty0GV KlpvqfRSrY5PkUvNiL+elNaODJl9/8MgtXqRw4trhpc9pX6iCMWG7vr7FuHx F4TjTpopA2rVwrnNNZwTHB6JkGVjQSS+N1sIgWcDkwEyWlx4Ihhvpi1dCe+a piQEQ/0pAMyMojxoUoNd1K+S/KjyITqNAsyq6wshOMZnlvjQITFWTSMRY9Lx zYGeuNPurFonoNzoUgKXU5qr8CB9znMTswbKFgxfTAo4R7T/CD+HOslN8w2w pM55YtPBNgWSUNrZ+DqOGURgm+/0ZxFoBoKis2zIXP3jlDvjjm/iyrWUMnCl 8zmuw7fJN38XCwKIeooaZ5pY0azlxoogc/QSQwiVyuSe3YWO0kyKDQzVxjaW VvOLhrL20M/RI2iR0GY6jv7cOWrw1WrR73iIAaJDFPg/RGZedrXuOyjUzPVD WwFnyzULa7n9b/J6ux5cnyTyfPyOHeSpUN2C5bnj8uNMF9jZd5DBNsKSV3aV DtPKdiN56zs0HaTzzhGFhkwk46BniVXj8zZVo6rHKG5ab2Cs4FMpDpu/YeVO N7e7Ea2vOSvPhWUaEWYKkH1rj6Ek6C4asm5hS471DMZ8io7gKOegXVFWUQYU rS/cAkI0H+xdVO0VQsOU5JkXZhKt77ynYc4N22rWT2JlFT6QmP0PNpJ05soO umHJ =PGS3 -----END PGP SIGNATURE-----