Transcript Scarica il bollettino PDF

Computer Emergency Response Team
BOLLETTINO IT-CERT.160929.B01
Vulnerabilità in ISC BIND
(CVE-2016-2776)
Doc.: IT-CERT.160929.B01
ver. 1.0 del 29/09/2016
Pagina 1 di 4
DESCRIZIONE
BIND è un software open source sviluppato da ISC (Internet Systems Consortium) che implementa i
protocolli di Domain Name System (DNS) di Internet. Si tratta di una implementazione di riferimento di tali
protocolli, ma è anche un software largamente utilizzato su sistemi in produzione, adatto per l’uso in
applicazioni ad alta capacità ed alta affidabilità. Il nome BIND sta per “Berkeley Internet Name Domain”, in
quanto il software è nato nei primi anni 80 presso l'Università della California a Berkeley.
È stata scoperta una vulnerabilità di gravità elevata (CVE-2016-2776) in ISC BIND che può causare il crash
del server con conseguente condizione di denial of service.
La vulnerabilità è legata ad una condizione di errore che si verifica nella costruzione delle risposte a
particolari richieste da parte del componente DNS server named. In particolare, un problema nella
rappresentazione dei messaggi in pacchetti può causare la terminazione anomala di named con assertion
failure in “buffer.c”. L’errore si verifica anche quando l’indirizzo della sorgente non rientra tra quelli a cui è
consentito effettuare query al server DNS (ossia, non è elencato sotto l’opzione allow-query nel file di
configurazione “named.conf”).
Al momento non ci sono notizie che questa vulnerabilità sia stata sfruttata in attacchi reali.
Sono disponibili aggiornamenti che risolvono questa vulnerabilità in ISC BIND (per maggiori informazioni si
veda la sezione LINK UTILI). Non sono disponibili soluzioni alternative per mitigare questa vulnerabilità.
SOLUZIONE
Aggiornare ISC BIND ad una delle seguenti versioni:




BIND 9 versione 9.9.9-P3
BIND 9 versione 9.10.4-P3
BIND 9 versione 9.11.0rc3
BIND 9 versione 9.9.9-S5 (Supported Preview edition)
SISTEMI
Risultano affette dalla vulnerabilità descritta in questo bollettino le seguenti versioni di ISC BIND:





BIND dalla versione 9.0.x alla 9.8.x.
BIND dalla versione 9.9.0 alla 9.9.9-P2
BIND dalla versione 9.9.3-S1 alla 9.9.9-S3
BIND dalla versione 9.10.0 alla 9.10.4-P2
BIND dalla versione 9.11.0a1 alla 9.11.0rc1
Doc.: IT-CERT.160929.B01
ver. 1.0 del 29/09/2016
Pagina 2 di 4
LINK UTILI
Download BIND
http://www.isc.org/downloads/
ISC BIND Security Advisory
https://kb.isc.org/article/AA-01419/0
Mitre CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2776
Doc.: IT-CERT.160929.B01
ver. 1.0 del 29/09/2016
Pagina 3 di 4
VALUTAZIONE CVSS
Relativamente alla valutazione della severity come metrica di base - da intendersi quale livello di
pericolosità della vulnerabilità delle componenti di sistema o delle piattaforme - il CERT Nazionale valuta i
parametri che concorrono al calcolo della Base Score secondo lo standard CVSS v.2 (Common Vulnerabilities
Scoring System), avvalendosi del tool messo a disposizione dal sito del NIST (http://nvd.nist.gov/cvss.cfm).
Nello specifico sono stati raggiunti i seguenti punteggi su una scala da 0 a 10.



CVSS Base Score 7,8
Impact Subscore 6,9
Exploitability Subscore 10,0
NOTE
Le informazioni contenute nel presente bollettino sono fornite a meri fini informativi.
In nessun caso il CERT Nazionale può essere ritenuto responsabile di qualunque perdita, pregiudizio,
responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno diretto, indiretto,
incidentale o consequenziale, derivante da o connesso alle informazioni riportate nel presente bollettino.
La versione PDF del bollettino è statica ed, in quanto tale, contiene le informazioni disponibili al momento
della pubblicazione.
Doc.: IT-CERT.160929.B01
ver. 1.0 del 29/09/2016
Pagina 4 di 4