Signature Detail

Short Name	DNS:QUERY:ISC-BIND-NSEC3-DOS
Severity	High
Recommended	Yes
Recommended Action	Drop
Category	DNS
Keywords	ISC BIND NSEC3-Signed Zones Queries Processing Denial of Service
Release Date	2014/02/25
Update Number	2349
Supported Platforms	idp-4.0+, isg-3.0+, j-series-9.5+, mx-9.4+, srx-9.2+, srx-branch-9.4+, vsrx-12.1+

DNS: ISC BIND NSEC3-Signed Zones Queries Processing Denial of Service

This signature detects attempts to exploit a known vulnerability against ISC BIND NSEC3-Signed Zone Queries. A successful attack can result in a denial-of-service condition.

Extended Description

The query_findclosestnsec3 function in query.c in named in ISC BIND 9.6, 9.7, and 9.8 before 9.8.6-P2 and 9.9 before 9.9.4-P2, and 9.6-ESV before 9.6-ESV-R10-P2, allows remote attackers to cause a denial of service (INSIST assertion failure and daemon exit) via a crafted DNS query to an authoritative nameserver that uses the NSEC3 signing feature.

Affected Products

isc bind 9.6.0a1
isc bind 9.6.0b1
isc bind 9.6.0 (p1)
isc bind 9.6.0 (rc1)
isc bind 9.6.0 (rc2)
isc bind 9.6.1b1
isc bind 9.6.1 (p1)
isc bind 9.6.1 (p2)
isc bind 9.6.1 (p3)
isc bind 9.6.1 (rc1)
isc bind 9.6.2b1
isc bind 9.6.2-p1
isc bind 9.6.2-p2
isc bind 9.6.2-p3
isc bind 9.6.2 (rc1)
isc bind 9.6.3b1
isc bind 9.6.3 (rc1)
isc bind 9.6-esv
isc bind 9.6-esv-r1
isc bind 9.6-esv-r2
isc bind 9.6-esv-r3
isc bind 9.6-esv-r4
isc bind 9.6-esv-r4-p1
isc bind 9.6-esv-r5b1
isc bind 9.6-esv-r5 (p1)
isc bind 9.6-esv-r6 (b1)
isc bind 9.6-esv-r6 (rc1)
isc bind 9.6-esv-r6 (rc2)
isc bind 9.6-esv-r7 (p1)
isc bind 9.6-esv-r7 (p2)
isc bind 9.6-esv-r9 (p1)
isc bind 9.7.0a1
isc bind 9.7.0a2
isc bind 9.7.0a3
isc bind 9.7.0b1
isc bind 9.7.0b2
isc bind 9.7.0b3
isc bind 9.7.0 (beta)
isc bind 9.7.0 (p1)
isc bind 9.7.0 (p2)
isc bind 9.7.0 (rc1)
isc bind 9.7.0 (rc2)
isc bind 9.7.1b1
isc bind 9.7.1 (p1)
isc bind 9.7.1 (p2)
isc bind 9.7.1 (rc1)
isc bind 9.7.2 (p1)
isc bind 9.7.2 (p2)
isc bind 9.7.2 (p3)
isc bind 9.7.2 (rc1)
isc bind 9.7.3 (b1)
isc bind 9.7.3 (p1)
isc bind 9.7.3 (rc1)
isc bind 9.7.4b1
isc bind 9.7.4 (b1)
isc bind 9.7.4 (p1)
isc bind 9.7.4 (rc1)
isc bind 9.7.5 (b1)
isc bind 9.7.5 (rc1)
isc bind 9.7.5 (rc2)
isc bind 9.7.6 (p1)
isc bind 9.7.6 (p2)
isc bind 9.7.7
isc bind 9.8.0 (a1)
isc bind 9.8.0 (b1)
isc bind 9.8.0 (p1)
isc bind 9.8.0 (p2)
isc bind 9.8.0 (p4)
isc bind 9.8.0 (rc1)
isc bind 9.8.1 (b1)
isc bind 9.8.1 (b2)
isc bind 9.8.1 (b3)
isc bind 9.8.1 (p1)
isc bind 9.8.1 (rc1)
isc bind 9.8.2 (b1)
isc bind 9.8.2 (rc1)
isc bind 9.8.2 (rc2)
isc bind 9.8.3 (p1)
isc bind 9.8.3 (p2)
isc bind 9.8.4
isc bind 9.8.5 (b1)
isc bind 9.8.5 (b2)
isc bind 9.8.5 (p1)
isc bind 9.8.5 (p2)
isc bind 9.8.5 (rc1)
isc bind 9.8.5 (rc2)
isc bind 9.8.6 (b1)
isc bind 9.8.6 (p1)
isc bind 9.8.6 (rc1)
isc bind 9.8.6 (rc2)
isc bind 9.9.4 (p1)
isc bind 9.9.4 (rc1)
isc bind 9.9.4 (rc2)

References

BugTraq: 64801
CVE: CVE-2014-0591

Signature Detail

Short Name

Severity

Recommended

Recommended Action

Category

Keywords

Release Date

Update Number

Supported Platforms

DNS: ISC BIND NSEC3-Signed Zones Queries Processing Denial of Service

Extended Description

Affected Products

References