ASA-2019-00112 – BIND: Uma falha de declaração pode ocorrer se uma âncora de confiança for transferida para um algoritmo de chave não suportado ao usar managed-keys

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00112

Identificador(es)

ASA-2019-00112, CVE-2018-5745

Título

Uma falha de declaração pode ocorrer se uma âncora de confiança for transferida para um algoritmo de chave não suportado ao usar managed-keys

Fabricante(s)

Internet Systems Consortium (ISC)

Produto(s)

BIND

Versão(ões) afetada(s)

BIND 9.9.0 -> 9.10.8-P1, 9.11.0 -> 9.11.5-P1, 9.12.0 -> 9.12.3-P1, e versões 9.9.3-S1 -> 9.11.5-S3 do BIND 9 Supported Preview Edition. Versões 9.13.0 -> 9.13.6 da árvore de desenvolvimento 9.13 são também afetadas.

Versão(ões) corrigida(s)

BIND 9.11.5-P4
BIND 9.12.3-P4
BIND 9.11.5-S5

Prova de conceito

Desconhecido

Descrição

managed-keys” é um recurso que permite que um resolver BIND mantenha automaticamente as chaves usadas pelas âncoras de confiança que os operadores configuram para uso na validação do DNSSEC. Devido a um erro no recurso de chaves gerenciadas, é possível que um servidor BIND que usa chaves gerenciadas saia devido a uma falha de declaração se, durante a substituição de chave, as chaves de uma âncora de confiança forem substituídas por chaves que usam um algoritmo não suportado.

Detalhes técnicos

Essa vulnerabilidade em particular seria muito difícil para um atacante arbitrário usar, porque exige que um operador tenha o BIND configurado para usar uma âncora de confiança gerenciada pelo atacante. No entanto, se exercitado com sucesso, o defeito fará com que o named saia deliberadamente após encontrar uma falha de declaração.

É mais provável, talvez, que esse bug possa ser encontrado acidentalmente, já que nem todas as versões do BIND suportam o mesmo conjunto de algoritmos criptográficos. Especificamente, as ramificações recentes do BIND começaram a remover deliberadamente o suporte a algoritmos criptográficos que agora estão obsoletos (por exemplo, porque não são mais considerados suficientemente seguros). Essa vulnerabilidade pode ser encontrada se um resolver executando uma versão do BIND que removeu o suporte para obsoleta algoritmos são configurados para usar uma âncora de confiança que opta por alterar os tipos de algoritmo para um desses algoritmos reprovados.

Créditos

Desconhecido

Referência(s)

CVE-2018-5745: An assertion failure can occur if a trust anchor rolls over to an unsupported key algorithm when using managed-keys
https://kb.isc.org/docs/cve-2018-5745

Multiple BIND CVEs disclosed (CVE-2018-5744, CVE-2018-5745, CVE-2019-6465)
https://seclists.org/oss-sec/2019/q1/146

CVE-2018-5745
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5745

CVE-2018-5745
https://nvd.nist.gov/vuln/detail/CVE-2018-5745

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 8 dezembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.