Boletines de Vulnerabilidades |
Envenenamiento de caches en ISC BIND |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Integridad |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Networking |
Software afectado | ISC BIND 8 < 8.4.7-P1 |
Descripción |
|
Se ha encontrado una vulnerabilidad en ISC BIND 8 en las versiones anteriores a la 8.4.7-P1 en los algoritmos NSID_SHUFFLE_ONLY y NSID_USE_POOL PRNG. La vulnerabilidad reside al generar identificadores de petición DNS predecibles cuando se envian peticiones al exterior tales como mensajes NOTIFY. Un atacante remoto podría envenenar las cachés DNS. |
|
Solución |
|
Actualización de software NetBSD (NetBSD-SA2007-007) NetBSD-current / Update 2007-07-25 netBSD 4.0 / Update 2007-07-31 NetBSD 3.x / Update 2007-08-15 NetBSD 2.x / Update 2007-09-13 http://www.NetBSD.org/guide/en/chap-kernel.html Sun(103063) Solaris 8 / SPARC / patch 109326-20 Solaris 9 / SPARC / patch 112837-14 Solaris 8 / x86 / patch 109327-20 Solaris 9 / x86 / patch 114265-13 http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage IBM (3975) AIX 5.2.0 - APAR IZ05609 AIX 5.3.0 - APAR IZ05686 http://www.ibm.com/servers/eserver/support/unixservers/aixfixes.html |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CVE-2007-2930 |
BID | |
Recursos adicionales |
|
NetBSD Security Advisory (NetBSD-SA2007-007) ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2007-007.txt.asc Sun Alert Notification (103063) http://sunsolve.sun.com/search/document.do?assetkey=1-26-103063-1 IBM Security Advisory (3975) https://www14.software.ibm.com/webapp/set2/subscriptions/ijhifoe?mode=7&heading=AIX52&path=%2F200710%2FSECURITY%2F20071030%2Fdatafile095024&label=AIX+BIND+8+remote+DNS+cache+poisoning |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2007-09-14 |
1.1 | Aviso emitido por Sun (103063) | 2007-09-19 |
1.2 | Aviso emitido por Sun (103063) | 2007-10-16 |
1.3 | Aviso emitido por IBM (3975) | 2007-10-31 |