Risque
Contournement de la politique de sécurité.
Systèmes affectés
- BIND versions 9.0.x ;
- BIND versions 9.1.x ;
- BIND versions 9.2.x ;
- BIND versions 9.3.x ;
- BIND versions 9.4.x antérieures à 9.4.3-P5 ;
- BIND versions 9.5.x antérieures à 9.5.2-P2 ;
- BIND versions 9.6.x antérieures à 9.6.1-P3 ;
- BIND version 9.7.0 beta.
Résumé
Une vulnérabilité dans le logiciel BIND avec DNSSEC permet la corruption du cache DNS.
Description
Le logiciel BIND avec DNSSEC activé ne sauvegarde pas correctement certains enregistrements dans son cache. Ce dysfonctionnement apparait lorsque le client DNS effectue des requêtes DNSSEC (DO) sans vérification (CD). Cette vulnérabilité avait déjà été traitée dans l'avis CERTA-2009-AVI-515, mais le correctif s'est révélé insuffisant.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Document du CERTA CERTA-2009-AVI-515 du 26 novembre 2009 :
http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-515/index.html
- Bulletin de sécurité de l'ISC du 23 novembre 2009, mis à jour le 19 janvier :
https://www.isc.org/node/504
- Bulletin de sécurité IBM du 26 juillet 2010 :
http://aix.software.ibm.com/aix/efixes/security/bind9_advisory.asc
- Référence CVE CVE-2009-4022 :
https://www.cve.org/CVERecord?id=CVE-2009-4022
- Référence CVE CVE-2010-0290 :
https://www.cve.org/CVERecord?id=CVE-2010-0290