Descripción: Usando un mensaje especialmente diseñado, un atacante puede potencialmente hacer que un servidor BIND alcance un estado inconsistente si el atacante conoce (o adivina con éxito) el nombre de una clave TSIG utilizada por el servidor. Dado que BIND, de forma predeterminada, configura una clave de sesión local incluso en servidores cuya configuración no hace uso de ella, casi todos los servidores BIND actuales son vulnerables. En las versiones de BIND que datan de marzo de 2018 y posteriores, una verificación de aserción en tsig.c detecta este estado inconsistente y sale deliberadamente. Antes de la introducción de la verificación, el servidor continuaría funcionando en un estado inconsistente, con resultados potencialmente dañinos.

CVE: CVE-2020-8617
Factor de Riesgo: Alto
Valor CVSS Base: 7,8

Solución

Para determinar si su versión es vulnerable, los componentes o funciones que se ven afectados por esta vulnerabilidad y para obtener información sobre, versiones puntuales o revisiones que abordan la vulnerabilidad, consulte la siguiente tabla.

Producto

RamaV

Versiones conocidas por ser vulnerables

Correcciones introducidas en

Gravedad

Puntuación CVSSv31

Componente o característica vulnerable

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, controlador de enlace, PEM)

11.x

11.6.1 – 11.6.5

11.6.5.2

Alto

7.5

ENLAZAR

12.x

12.1.0 – 12.1.5

12.1.5.2

13.x

13.1.0 – 13.1.3

13.1.3.4

14.x

14.1.0 – 14.1.2

14.1.2.6

15.x

15.0.0 – 15.1.0

15.1.0.4

15.0.1.4

16.x

Ninguna

16.0.0

Gestión centralizada BIG-IQ

5.x

5.3.0 – 5.4.0

Ninguna

Alto

7.5

ENLAZAR

6.x

6.0.0 – 6.1.0

Ninguna

7.x

7.0.0 – 7.1.0

Ninguna

Traffix SDC

5.x

Ninguna

Aplica

No aplicable

Ninguna

Ninguna

Si está ejecutando una versión enumerada en la columna Versiones conocidas como vulnerables, puede eliminar esta vulnerabilidad actualizando a una versión enumerada en la columna Correcciones introducidas en. Si la tabla solo enumera una versión anterior a la que está ejecutando actualmente, o no enumera una versión no vulnerable, entonces no requiere esta actualizacion.

BIG-IP
Cuando no es necesario utilizar el servicio DNS de BIG-IP, debe proteger las direcciones IP propias en el sistema BIG-IP utilizando la función de bloqueo de puertos para denegar el acceso a los servicios DNS en el sistema. Para hacerlo, consulte Uso de la utilidad de configuración para modificar la configuración de bloqueo de puertos para un procedimiento de auto IP específico en K17333: Descripción general del comportamiento de bloqueo de puertos (12.x – 15.x) .
La dirección IP de administración del sistema BIG-IP no responde a las consultas de DNS.

BIG-IP DNS, BIG-IP GTM y Link Controller
Para mitigar esta vulnerabilidad, puede configurar el perfil DNS para que no reenvíe consultas a BIND estableciendo Usar servidor BIND en el sistema BIG-IP en Desactivado . Para consultas que no necesitan procesarse más en BIND, si no hay un grupo asignado al servidor virtual que procesa la solicitud de DNS, establezca Acciones de consulta no manejadas en cualquier configuración que no sea Permitir (por ejemplo, use Descartar o Pista ). Para el servidor virtual que procesa solicitudes de DNS asignadas con un grupo de servidores DNS o configuradas para el almacenamiento en caché de DNS, establezca Acciones de consulta no controladas en Permitir . Establecer acciones de consulta no controladas para permitirpermite el procesamiento posterior de las solicitudes de DNS al grupo de servidores DNS. Para hacerlo, realice el siguiente procedimiento:

  1. Inicie sesión en Configuration utility.
  2. Vaya a Local Traffic > Profiles > Services > DNS .
  3. Seleccione la opcion de DNS.
  4. Para usar BIND server en BIG-IP , seleccione Disabled.
  5. Establecer Unhandled Query Actions::
  • Si tiene un servidor virtual que está procesando solicitudes de DNS asignadas con un grupo de servidores DNS o configurado para el almacenamiento en caché de DNS, en Unhandled Query Actions, seleccione Allow.
  • Si no hay un grupo asignado al servidor virtual, para Unhandled Query Actions, seleccione una configuración diferente a Allow. Por ejemplo, seleccione Drop o Hint.
  1. Seleccione Update.

Como alternativa y si no desea deshabilitar BIND, puede agregar un nombre de clave de sesión al archivo de configuración del servidor de nombres named.conf. Para hacerlo, realice el siguiente procedimiento:

  1. Inicie sesión en el host BIG-IP como usuario root.
  2. Edite el archivo /var/named/config/named.conf.
  3. En la sección de options, agregue la siguiente lineas: session-keyname <session_name>;

Acuelice a la versión de BIND, más estable.

Referencias

https://www.tenable.com/plugins/nessus/136808

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like