CVE-2020-8623

**Nome do software vulnerável e versões afetadas:

Versões do BIND 9.10.0 a 9.11.21

Versões do BIND 9.12.0 a 9.16.5

Versões do BIND 9.17.0 a 9.17.3

Versões da Edição de Pré-visualização com suporte do BIND 9, de 9.10.5-S1 a 9.11.21-S1

Descrição:

A vulnerabilidade permite que um invasor provoque uma falha no sistema com um pacote de consulta especialmente criado. Para estar vulnerável, o sistema deve estar executando o BIND compilado com a opção “--enable-native-pkcs11”, assinando uma ou mais zonas com uma chave RSA e ser capaz de receber consultas de um possível invasor. A vulnerabilidade está relacionada à implementação do servidor DNS compilado com a opção “--enable-native-pkcs11” e está associada à falta de um mecanismo de gerenciamento de privilégios. A exploração pode permitir que um invasor remoto cause uma negação de serviço enviando consultas de zona DNS especialmente formuladas e assinadas com uma chave RSA.

Recomendações:

Para as versões do BIND 9.10.0 a 9.11.21, considere desativar o suporte nativo a PKCS#11 até que um patch esteja disponível.

Para as versões do BIND 9.12.0 a 9.16.5, restrinja o acesso a zonas assinadas com chaves RSA para minimizar o risco de exploração.

Para as versões do BIND 9.17.0 a 9.17.3, evite usar a opção “--enable-native-pkcs11” ao compilar o BIND até que uma correção seja lançada.

Para as versões da Edição de Pré-visualização Suportada do BIND 9, de 9.10.5-S1 a 9.11.21-S1, aplique as mesmas recomendações das versões correspondentes do BIND.