Risque

  • Déni de service à distance

Systèmes affectés

BIND, versions 9.4.x et 9.5.x.

Résumé

Une vulnérabilité de BIND permet à un utilisateur malveillant de provoquer un déni de service à distance.

Description

BIND est un logiciel DNS couramment utilisé.

Une erreur dans l'appel de la fonction query_addsoa() peut provoquer un arrêt du programme. Ce comportement peut être exploité pour provoquer un déni de service à distance.

L'exploitation de la vulnérabilité n'est pas possible si la recherche récursive est desactivée. Cette désactivation se traduit par le paramétrage recursion no dans le fichier de configuration named.conf.

Solution

Mettre à jour le logiciel dans la version 9.4.1 ou 9.5.0a4. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation