Se trata de un software desarrollado por el ISC (Internet Software Consortium), un consorcio donde se encuentran representadas algunas de las empresas más importantes del sector informático y que tiene como objetivo el desarrollo de las implementaciones de referencia de los principales protocolos básicos de Internet. Esto hace que muchos sistemas operativos incluyan, de forma nativa, BIND.
El 27 de agosto el ISC ha anunciado el fin de ciclo de vida para BIND 8.x, después de más de diez años desde su aparición estable en mayo de 1997. Desde entonces, la rama 8.x ha sido castigada por una gran cantidad de fallos y vulnerabilidades que han hecho que BIND se haya convertido históricamente en la puerta de entrada para muchos servidores en Internet y una forma remota de engañar y redirigir la navegación de los usuarios. A mediados de 2000 apareció la rama 9.x de BIND, con un número de vulnerabilidades menor hasta el momento y capaz de aprovechar nuevas tecnologías de los sistemas.
Muchos fallos en BIND han sido considerados siempre como de los más peligrosos, manteniéndose en algunas listas especializadas de vulnerabilidades siempre entre los 20 más críticos. Hay que tener en cuenta que BIND es ‘omnipresente’: ha sido utilizado por innumerables servidores en Internet, con acceso abierto a todo el que desease resolver direcciones y dominios, además de estar presente por defecto en muchas distribuciones. Las posibilidades de aprovechar fallos se multiplican, y un error grave en este software abre muchas puertas a potenciales atacantes.
La propia ISC reconoce que la rama 8.x fue escrita en otros tiempos, cuando la seguridad no era una prioridad en Internet. Esto ha provocado que, a marchas forzadas, el producto haya tenido que ser parcheado hasta la saciedad para poder ‘sobrevivir’ en la Internet de hoy día, con miles de ataques automátizados, sistemáticos y sofisticados a todo puerto abierto y accesible en la Red.
La rama 8.x se despide con la versión BIND 8.4.7 P1, que además soluciona un problema de seguridad que puede permitir a atacantes perpetrar ataques de envenenamiento de caché.
El fallo se debe a una debilidad del algoritmo del sistema a la hora de calcular identificadores para las transacciones. Un atacante remoto podría envenenar la caché de un servidor BIND 8 si estudia el tráfico de las transacciones y predecir así el siguiente valor. El método de ataque es distinto al reportado hace algunas semanas y que afectaba a BIND 9.x
Se recomienda actualizar con el parche P1 disponible desde:
ftp://ftp.isc.org/isc/bind8/src/8.4.7-P1/
Ya no hay excusa para no saltar a la rama 9.x que además de una mejor seguridad y proporcionar un rendimiento mayor, queda como única alternativa segura para los administradores que confíen en BIND.
Sergio de los Santos
Noticias Hispasec
http://www.hispasec.com
