[Lista ArNOG] DNS

Lucas Migliorini Anura lmigliorini en anura.com.ar
Mar Oct 25 18:22:05 ART 2016 

Concuerdo con Ariel,

luqas [~] nslookup -type=txt -class=chaos version.bind 190.112.219.66
>
> Server: 190.112.219.66
> Address: 190.112.219.66#53


> version.bind text = "9.7.3"



Hay que tener cuidado con el Bind9 ya que hace poco salio un a la luz un
Bug que *aniquila* el servicio con una sola query.

Explicacion *http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2776
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2776> -> *Este bug
se encontro en Febrero de este año, pero salio la explicacion por parte de
un grupo de investigadores hace poco del *porque* se producia el error y el
Exploit para probarlo (publicado en internet).. Lo cual lo hace bastante
peligroso..


He probado el Exploit y efectivamente, mata el servicio de Bind9 al momento
de tirarla un query con determinadas condiciones.


Por lo que se recomienda llevar el Bind a las siguientes versiones:


   - BIND 9 version 9.9.9-P3
   - BIND 9 version 9.10.4-P3
   - BIND 9 version 9.11.0rc3


*Pequeño detalle del Bug:*

"buffer.c in named in ISC BIND 9 before 9.9.9-P3, 9.10.x before 9.10.4-P3,
and 9.11.x before 9.11.0rc3 does not properly construct responses, which
allows remote attackers to cause a denial of service (assertion failure and
daemon exit) via a crafted query."



Saludos



*Lucas Migliorini*
Operaciones

*Anura S.A.*
Esmeralda 718, Piso 16º B,
C1007ABH, CABA, Argentina
Tel: (+54 11) 5263 0000
lmigliorini en anura.com.ar
www.anura.com.ar
www.anura.pe

On Tue, Oct 25, 2016 at 4:08 PM, Ariel Weher <ariel en weher.net> wrote:

> https://www.cvedetails.com/vulnerability-list/vendor_id-
> 64/product_id-144/version_id-110131/ISC-Bind-9.7.3.html
>
> Fede: yo lo cerraría​ para prevenir alguna amplificación...
>
> Abz
>
>
>
>
> 2016-10-25 12:21 GMT-03:00 Federico Kearney (WNinternet) <
> federico en wninternet.com>:
>
>> 190.112.219.66
>
>
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161025/f89ec5b8/attachment.html>

Más información sobre la lista de distribución Lista