2.1 CVE-2011-5056
Patch
El servidor autorizado en MaraDNS a través de 2.0.04 calcula valores hash para datos DNS sin restringir la capacidad de desencadenar colisiones hash de manera predecible, lo que podría permitir a los usuarios locales causar una denegación de servicio (consumo de CPU) a través de registros elaborados en archivos de zona, una vulnerabilidad diferente que CVE-2012-0024.
https://nvd.nist.gov/vuln/detail/CVE-2011-5056
Categorías
CWE-400 : Consumo incontrolado de recursos
El producto no controla adecuadamente la asignación y el mantenimiento de un recurso limitado, lo que permite a un actor influir en la cantidad de recursos consumidos, provocando finalmente el agotamiento de los recursos disponibles. Ciertas técnicas automatizadas de análisis dinámico pueden ser eficaces para detectar problemas de agotamiento de recursos, especialmente con recursos como procesos, memoria y conexiones. La técnica puede implicar la generación de un gran número de peticiones al producto en un corto espacio de tiempo. Aunque el fuzzing suele estar orientado a la búsqueda de errores de implementación de bajo nivel, puede encontrar inadvertidamente problemas de agotamiento de recursos. Esto puede ocurrir cuando el fuzzer genera un gran número de casos de prueba pero no reinicia el producto objetivo entre los casos de prueba. Si un caso de prueba individual produce un fallo, pero no lo hace de forma fiable, entonces la causa puede ser una incapacidad para gestionar el agotamiento de recursos. Diseñar mecanismos de estrangulamiento en la arquitectura del sistema. La mejor protección es limitar la cantidad de recursos que un usuario no autorizado puede hacer gastar. Un modelo sólido de autenticación y control de acceso ayudará a evitar que se produzcan este tipo de ataques. La aplicación de inicio de sesión debe estar protegida contra ataques DoS en la medida de lo posible. Limitar el acceso a la base de datos, quizás almacenando en caché los conjuntos de resultados, puede ayudar a minimizar los recursos gastados. Para limitar aún más la posibilidad de un ataque DoS, considere la posibilidad de realizar un seguimiento de la tasa de solicitudes recibidas de los usuarios y bloquear las solicitudes que superen un umbral de tasa definido. Asegúrese de que los protocolos tienen límites de escala específicos. Asegúrese de que todos los fallos en la asignación de recursos sitúan al sistema en una posición segura. Cadena: La biblioteca Python no limita los recursos utilizados para procesar imágenes que especifican un número muy elevado de bandas (CWE-1284), lo que provoca un consumo excesivo de memoria (CWE-789) o un desbordamiento de enteros (CWE-190). El orquestador de cargas de trabajo basado en Go no limita el uso de recursos con conexiones no autenticadas, lo que permite una DoS inundando el servicio Agotamiento de recursos en SO distribuidos debido a una gestión de colas IGMP "insuficiente", como se ha explotado in the wild según CISA KEV. El producto permite a los atacantes provocar una caída a través de un gran número de conexiones. Una solicitud malformada desencadena una recursión incontrolada, lo que provoca el agotamiento de la pila. Cadena: fuga de memoria (CWE-404) que provoca el agotamiento de los recursos. El controlador no utiliza una anchura máxima al invocar funciones del estilo de sscanf, lo que provoca el consumo de la pila. Un valor entero grande para una propiedad de longitud en un objeto provoca una gran cantidad de asignación de memoria. El cortafuegos de aplicaciones web consume demasiada memoria cuando una solicitud HTTP contiene un valor Content-Length grande pero no datos POST. El producto permite el agotamiento de los descriptores de archivo al procesar un gran número de paquetes TCP. El producto de comunicación permite el consumo de memoria con un gran número de peticiones SIP, que provocan la creación de muchas sesiones. La implementación de TCP permite a los atacantes consumir CPU e impedir nuevas conexiones mediante un ataque de inundación TCP SYN. El escaneo de puertos provoca un consumo de CPU con procesos que intentan leer datos de sockets cerrados. Product permite a los atacantes provocar una denegación de servicio a través de un gran número de directivas, cada una de las cuales abre una ventana independiente. El producto permite el agotamiento de recursos a través de un gran número de llamadas que no completan un apretón de manos de 3 vías. El servidor de correo no gestiona correctamente los mensajes MIME multiparte anidados en profundidad, lo que provoca el agotamiento de la pila. Cadena: el producto antivirus encuentra un archivo malformado, pero regresa de una función sin cerrar un descriptor de archivo (CWE-775), lo que provoca el consumo del descriptor de archivo (CWE-400) y fallos en los análisis.
Referencias
CONFIRM Patch
http://samiam.org/blog/20111229.html Patch Third Party Advisory |
SECTRACK
1026820 Third Party Advisory VDB Entry |
XF
maradns-server-dos(72258) Third Party Advisory VDB Entry |
CPE
cpe | iniciar | fin |
---|---|---|
Configuration 1 | ||
cpe:2.3:a:maradns:maradns:*:*:*:*:*:*:*:* | <= 2.0.04 |
REMEDIACIÓN
Patch
Url |
---|
http://samiam.org/blog/20111229.html |
EXPLOTA
Exploit-db.com
id | descripción | fecha | |
---|---|---|---|
No hay exploits conocidos |
Otros (github, ...)
Url |
---|
No hay exploits conocidos |
CAPEC
Common Attack Pattern Enumerations and Classifications
id | descripción | gravedad |
---|---|---|
147 | XML Ping de la Muerte |
Medio |
227 | Compromiso sostenido de los clientes |
|
492 | Expresión regular de explosión exponencial |
MITRE
Técnicas
id | descripción |
---|---|
T1499 | Denegación de servicio en puntos finales |
© 2022 The MITRE Corporation. Esta obra se reproduce y distribuye con el permiso de The MITRE Corporation. |
Mitigación
id | descripción |
---|---|
T1499 | Aproveche los servicios proporcionados por las redes de distribución de contenidos (CDN) o los proveedores especializados en mitigación de ataques DoS para filtrar el tráfico ascendente de los servicios. Filtre el tráfico fronterizo bloqueando las direcciones de origen que originan el ataque, bloqueando los puertos atacados o bloqueando los protocolos utilizados para el transporte. Para defenderse de las inundaciones SYN, active las cookies SYN. |
© 2022 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation. |
Sherlock® flash
Haz una foto de tu red informática en unos pocos clics !
La solución de auditoría Sherlock® flash le permite realizar una auditoría para reforzar la seguridad de sus activos informáticos. Escaneo de vulnerabilidad de sus equipos físicos y virtuales. Planificación de parches por nivel de prioridad y tiempo disponible. Informes detallados e intuitivos.
