Risque

  • Déni de service à distance

Systèmes affectés

Les versions de BIND antérieures à 9.3.2-P1, 9.2.6-P1 et 8.4.7 (ainsi que les versions Béta antérieures à 9.4.0b2, 9.3.3rc2, 9.2.7rc1 et 9.2.6-P1).

Description

ISC BIND (Berkeley Internet Name Domain) est un service pour la mise en œuvre du protocole DNS servant à la résolution de noms de domaine. Plusieurs vulnérabilités ont été identifiées dans ce dernier :

  • il ne manipulerait pas de manière correcte certaines requêtes de type récursif (utilisées quand le serveur DNS se charge d'effectuer des requêtes itératives pour le client, aussi appelé resolver. Un utilisateur malveillant pourrait, à distance, profiter de cette vulnérabilité pour déclencher une erreur INSIST, en envoyant suffisamment de requêtes récursives : cette erreur arriverait tardivement, empêchant les autres clients d'obtenir une réponse du serveur à leurs requêtes.
  • il ne manipulerait pas correctement des enregistrements (Resource Record Sets) liés aux extensions de sécurité DNS DNSsec. Un utilisateur malveillant pourrait construire des réponses DNS contenant plusieurs SIG RRsets, afin de perturber le fonctionnement du serveur auquel la réponse est adressée.

Solution

Se référer au bulletin de sécurité sur le site de l'ISC (Internet Security Consortium) pour l'obtention des correctifs (cf. section Documentation).

Documentation