Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità multiple in ISC Bind

BIND  denial-of-service   lunedì, 25 febbraio 2019

BIND è un software open source sviluppato da ISC (Internet Systems Consortium) che implementa i protocolli DNS di Internet. BIND è molto diffuso in particolare sui sistemi basati su Unix e su Linux, per i quali è considerato il server DNS di riferimento.

Sono state riscontrate tre diverse vulnerabilità in ISC BIND 9 (CVE-2018-5744, CVE-2018-5745, CVE-2019-6465), le più gravi delle quali possono causare condizioni di denial of service o di degrado del servizio.

Risultano variamente affette da queste vulnerabilità le seguenti versioni di ISC BIND:

  • BIND dalla versione 9.9.0 alla 9.10.8-P1
  • BIND dalla versione 9.11.0 alla 9.11.5-P2
  • BIND dalla versione 9.12.0 alla 9.12.3-P2
  • BIND dalla versione 9.9.3-S1 alla 9.11.5-S3 (Supported Preview Editions)
  • BIND dalla versione 9.13.0 alla 9.13.6 (development branch)

È necessario aggiornare BIND ad una delle seguenti versioni:

  • BIND 9.11.5-P4
  • BIND 9.12.3-P4
  • BIND 9.11.5-S5

Al momento non ci sono notizie che queste vulnerabilità siano state sfruttate in attacchi reali.

Per maggiori informazioni sulle vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili si consiglia di consultare i seguenti avviso di sicurezza di ISC (in Inglese):

Notizie correlate

Vulnerabilità critiche in switch Ethernet industriali Moxa

12 marzo 2019

Sono state scoperte diverse vulnerabilità critiche in switch Ethernet industriali delle famiglie IKS e EDS prodotti da Moxa.Leggi tutto

Vulnerabilità di tipo DoS in NTP

12 marzo 2019

È stata scoperta una vulnerabilità nelle versioni precedenti alla 4.2.8p13 dell'implementazione di riferimento di NTP che potrebbe essere sfruttata per causare condizioni di denial of service.Leggi tutto

Grave vulnerabilità in Cisco Network Assurance Engine

14 febbraio 2019

Cisco ha rilasciato un bollettino di sicurezza relativo ad una vulnerabilità di gravità elevata nel prodotto software Cisco Network Assurance Engine (NAE).Leggi tutto