Problemas com DNSSEC

BIND servidores que são configuradas para executar validação DNSSEC  e que estão usando-chaves gerenciados (que ocorre implicitamente ao usar  "dnssec-validation auto;" ou "DNSSEC-lookaside  auto; ") poderá terminar com uma falha de declaração quando se deparam com as seguintes características condições em uma âncora de confiança gestão:

uma chave que anteriormente era de confiança agora é sinalizado como revogada;
não há outras chaves confiáveis ​​disponíveis;
há uma chave de espera, mas ainda não é confiável
Esta situação resulta no cancelamento do processo de chamada e negação de serviço aos clientes, e pode ocorrer em duas circunstâncias:

durante um capotamento chave indevidamente de gestão de uma das âncoras de confiança gestão (por exemplo, durante um capotamento chave raiz remendada), ou
quando deliberadamente provocado por um atacante, em circunstâncias específicas e limitadas. ISC tem demonstrado uma prova de conceito do ataque; no entanto, a complexidade do ataque é muito alta, a menos que o atacante tem uma relação de rede específico para o BIND do servidor, que está orientada
Impacto:

Somente os servidores que estão executando DNSSEC validação e que estão usando-chaves gerenciados podem ser afetados por esta vulnerabilidade.

Resolvedores validação recursiva estão em maior risco, mas autoritária servidores também poderia ser vulnerável se eles estão realizando DNSSEC validação e utilizando-chaves gerenciados.

Servidores que são afetados pode encerrar com uma afirmação, causando negação de serviço a todos os clientes.

CVSS Pontuação:   5,4 CVSS Vector:   (AV: N / AC: H / Au: N / C: N / I: N / A: C) Para mais informações sobre o Common Vulnerability Scoring System e para obter a sua pontuação ambiental específica, por favor visite : http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:H/Au:N/C:N/I:N/A:C)

Soluções alternativas:

Para contornar o problema, não use "auto" para o DNSSEC-validação ou opções DNSSEC Lookaside e não configurar uma declaração-chaves gerenciados. Para fazer DNSSEC validação com esta solução alternativa seria preciso configurar uma declaração explícita-chaves de confiança com as teclas apropriadas.

Exploits ativos:

Não apresentou exploits ativos.

Solução: 

Upgrade para a versão corrigida mais estreitamente relacionadas com a versão atual do BIND . Estes podem ser baixados do http://www.isc.org/downloads .

BIND 9.9.6-P2
BIND 9.10.1-P2
O problema também é corrigido nos BIND versões de desenvolvimento:
BIND 9.9.7rc2
BIND 9.10.2rc2
Agradecimentos:   ISC gostaria de agradecer a Jan-Piet Mens para relatar esse problema.

Documento Histórico da Revisão:

1.0 Notificação Advance, 11 de fevereiro de 2015
2.0 seção Solução Atualizado, a divulgação pública, 18 de fevereiro de 2015

Documentos relacionados:

Veja nossa Matrix Vulnerabilidade BIND9 de Segurança na https://kb.isc.org/article/AA-00913 para uma lista completa de Vulnerabilidades e versões de Segurança afetados.

Se você quiser obter mais informações sobre ISC Subscription Suporte e Segurança Avançada Notificações, visite http://www.isc.org/support/ .

? Você ainda tem dúvidas   questões relativas ao presente consultivo deve ir para security-officer@isc.org .  Para relatar um novo problema, por favor, criptografar sua mensagem usando security-officer@isc.org's PGP chave que pode ser encontrado aqui: https: / /www.isc.org/downloads/software-support-policy/openpgp-key/ . Se você é incapaz de usar e-mail criptografado, você também pode relatar novas questões em: https://www.isc.org/community/report-bug/ .

Nota: manchas ISC apenas versões atualmente suportadas. Quando possível, indicam versões EOL afetadas. (Para obter informações atuais sobre os quais versões são activamente apoiada, consulte http://www.isc.org/downloads/ ).

ISC Segurança Política de Vulnerabilidade de divulgação:   Detalhes da nossa política de alerta de segurança atual e prática pode ser encontrado here: https://kb.isc.org/article/AA-00861/164/ISC-Software-Defect-and-Security-Vulnerability-Disclosure-Policy.html

Este artigo do Knowledge Base https://kb.isc.org/article/AA-01235 é o documento alerta de segurança completa e oficial.