CVE-2024-11187

Many records in the additional section cause CPU exhaustion

CVSS 7.5 HIGHEPSS 14.3%CWE-405

En resumen

Un servidor DNS BIND 9 puede ser sobrecargado cuando responde consultas de una zona DNS especialmente creada, porque la respuesta contiene muchos registros innecesarios. Un atacante puede explotar esto enviando varias consultas para agotar los recursos del servidor y causar indisponibilidad.

Detalle técnico

Una zona DNS maliciosamente construida genera respuestas con registros excesivos en la sección Additional (CWE-405: Consumo Descontrolado de Recursos). Los atacantes remotos pueden provocar agotamiento de CPU en servidores BIND 9 autoritativos o resolutores independientes mediante el envío de múltiples consultas sin autenticación; el impacto es negación de servicio por depleción de recursos.

Resumen generado y traducido por IA a partir de la descripción oficial.

It is possible to construct a zone such that some queries to it will generate responses containing numerous records in the Additional section. An attacker sending many such queries can cause either the authoritative server itself or an independent resolver to use disproportionate resources processing the queries. Zones will usually need to have been deliberately crafted to attack this exposure. This issue affects BIND 9 versions 9.11.0 through 9.11.37, 9.16.0 through 9.16.50, 9.18.0 through 9.18.32, 9.20.0 through 9.20.4, 9.21.0 through 9.21.3, 9.11.3-S1 through 9.11.37-S1, 9.16.8-S1 through 9.16.50-S1, and 9.18.11-S1 through 9.18.32-S1.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Productos afectados

ISC · BIND 9

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://kb.isc.org/docs/cve-2024-11187 https://lists.debian.org/debian-lts-announce/2025/02/msg00011.html https://security.netapp.com/advisory/ntap-20250207-0002/