For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00112
Identificador(es)
ASA-2019-00112, CVE-2018-5745
Título
Uma falha de declaração pode ocorrer se uma âncora de confiança for transferida para um algoritmo de chave não suportado ao usar managed-keys
Fabricante(s)
Internet Systems Consortium (ISC)
Produto(s)
BIND
Versão(ões) afetada(s)
BIND 9.9.0 -> 9.10.8-P1, 9.11.0 -> 9.11.5-P1, 9.12.0 -> 9.12.3-P1, e versões 9.9.3-S1 -> 9.11.5-S3 do BIND 9 Supported Preview Edition. Versões 9.13.0 -> 9.13.6 da árvore de desenvolvimento 9.13 são também afetadas.
Versão(ões) corrigida(s)
BIND 9.11.5-P4
BIND 9.12.3-P4
BIND 9.11.5-S5
Prova de conceito
Desconhecido
Descrição
“managed-keys” é um recurso que permite que um resolver BIND mantenha automaticamente as chaves usadas pelas âncoras de confiança que os operadores configuram para uso na validação do DNSSEC. Devido a um erro no recurso de chaves gerenciadas, é possível que um servidor BIND que usa chaves gerenciadas saia devido a uma falha de declaração se, durante a substituição de chave, as chaves de uma âncora de confiança forem substituídas por chaves que usam um algoritmo não suportado.
Detalhes técnicos
Essa vulnerabilidade em particular seria muito difícil para um atacante arbitrário usar, porque exige que um operador tenha o BIND configurado para usar uma âncora de confiança gerenciada pelo atacante. No entanto, se exercitado com sucesso, o defeito fará com que o named saia deliberadamente após encontrar uma falha de declaração.
É mais provável, talvez, que esse bug possa ser encontrado acidentalmente, já que nem todas as versões do BIND suportam o mesmo conjunto de algoritmos criptográficos. Especificamente, as ramificações recentes do BIND começaram a remover deliberadamente o suporte a algoritmos criptográficos que agora estão obsoletos (por exemplo, porque não são mais considerados suficientemente seguros). Essa vulnerabilidade pode ser encontrada se um resolver executando uma versão do BIND que removeu o suporte para obsoleta algoritmos são configurados para usar uma âncora de confiança que opta por alterar os tipos de algoritmo para um desses algoritmos reprovados.
Créditos
Desconhecido
Referência(s)
CVE-2018-5745: An assertion failure can occur if a trust anchor rolls over to an unsupported key algorithm when using managed-keys
https://kb.isc.org/docs/cve-2018-5745
Multiple BIND CVEs disclosed (CVE-2018-5744, CVE-2018-5745, CVE-2019-6465)
https://seclists.org/oss-sec/2019/q1/146
CVE-2018-5745
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5745
CVE-2018-5745
https://nvd.nist.gov/vuln/detail/CVE-2018-5745
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 8 dezembro 2019