Risque

Déni de service.

Systèmes affectés

Tout système fournissant un service DNS à l'aide de BIND 8, hormis les versions 8.3.7 et 8.4.3.

Résumé

Il est possible, pour l'administrateur mal intentionné d'un serveur DNS, de transmettre des réponses négatives qui seront stockées dans le cache des serveurs BIND 8 l'interrogeant, concernant des ressources pour lesquelles il n'est pourtant pas autorité (``negative cache poisoning'').

Description

Le principe du cache DNS consiste à stocker localement des données déjà reçues pour les restituer aux clients, avec un certain temps d'expiration, de manière à limiter la charge sur les serveurs autorités des domaines cachés.

Un cache peut être pollué lorsqu'il garde des informations sur des ressources sans vérifier la légitimité du serveur, lui ayant transmis, pour ces données particulières. Il ne semble plus possible de polluer le cache d'un serveur BIND à jour avec des enregistrements usurpés, mais la présente faille permet de faire mémoriser au cache une information de ``non-existence'' d'une ressource. Les clients interrogeant le cache ne peuvent alors plus accéder à cette dernière.

Solution

Mettre à jour BIND 8 :

Documentation