elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Denegación de servicio a través de consultas RRSIG en ISC BIND 9
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Denegación de servicio a través de consultas RRSIG en ISC BIND 9  (Leído 1,204 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
Denegación de servicio a través de consultas RRSIG en ISC BIND 9
« en: 10 Mayo 2011, 01:25 am »

El Internet Systems Consortium (ISC), patrocinador del servidor DNS más usado, BIND, informa sobre una vulnerabilidad encontrada en la rama 9 del producto. Aunque matiza que dicha vulnerabilidad únicamente afecta a usuarios que utilicen la característica RPZ.

Normalmente, los servidores de nombres configurados para usar recursividad reenvían sus respuestas al servidor que origina la respuesta. RPZ (Response Policy Zones) es un mecanismo implementado por BIND 9.8.0 para modificar en los servidores de nombres recursivos las respuestas de acuerdo a un conjunto de reglas definidas local o remotamente (importadas de un servidor en el que se confíe).

Para utilizar RPZ, BIND debe ser compilado con las opciones "--enable-rpz-nsip" o "--enable-rpz-nsdname". Esto permite utilizar la directiva "response-policy" en la configuración. Puede ser utilizado para reemplazar el Resource Record Set (RRset). Se trata el conjunto de todos los registros para un tipo concreto (A, MX, NS...) para un dominio. Por ejemplo RRSIG es un registro de firma utilizado en DNSSEC.

Cuando se utiliza RPZ, una consulta de tipo RRSIG para un nombre que haya sido configurado a través de las políticas RPZ para que se reemplace su RRset, hará que el servidor deje de responder.

Actualmente no se conocen exploits que se aprovechen de esta vulnerabilidad aunque sí es cierto que algunos validadores DNSSEC envían legítimamente consultas del tipo RRSIG, pudiendo causar la denegación de servicio.

Como solución, ISC aconseja evitar el uso de RPZ para realizar reemplazos RRset.

A esta vulnerabilidad se le ha asignado el CVE-2011-1907.

FUENTE :http://www.hispasec.com/unaaldia/4579

Sergio de los Santos
 ssantos@hispasec.com


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines