Prezados,

O CAIS está repassando o alerta do ISC (Internet Systems Consortium),
intitulado "Large RRSIG RRsets and Negative Caching can crash named" que
trata de uma vulnerabilidade no servidor DNS BIND.

Esta vulnerabilidade afeta servidores de DNS que utilizam BIND 9 e são
configurados como "caching resolver". O armazenamento de uma resposta
negativa de uma consulta a um domínio executada com um RRSet muito
extenso, paralisa o serviço named (BIND 9) devido à um erro de verificação
no tamanho de buffer.

Esta vulnerabilidade pode ser explorada remotamente, o que pode ser feito,
por exemplo, por meio de malwares que façam com que os clientes consultem
domínios cujos servidores estejam configurados para enviar respostas
construídas especialmente para essa finalidade.

Uma medida paleativa é restringir o acesso ao servidor de DNS de cache.
Entretanto, o CAIS recomenda que sejam implementadas as soluções descritas
na seção "CORREÇÕES DISPONÍVEIS".


SISTEMAS AFETADOS

São afetadas por esta vulnerabilidade as seguintes versões do BIND 9:
 . 9.4-ESV-R3 e anteriores
 . 9.6-ESV-R2 e anteriores
 . 9.6.3 e anteriores
 . 9.7.1 e anteriores
 . 9.8.0 e anteriores


CORREÇÕES DISPONÍVEIS:

Recomenda-se a atualização do servidor BIND 9 para as versões
9.4-ESV-AR4-P1, 9.6-ESV-R4-P1, 9.7.3-P1, 9.8.0-P2 ou superiores.


MAIS INFORMAÇÕES

. Large RRSIG RRsets and Negative Caching can crash named
 http://www.isc.org/software/bind/advisories/cve-2011-1910

Identificador CVE (http://cve.mitre.org):

CVE-2011-1910


O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
http://www.rnp.br/cais/alertas/rss.xml

Siga @cais_rnp.

FONTE: CAIS