 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 10 juin 2005
No CERTA-2005-AVI-033-002 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilité des
serveurs DNS BIND
Tableau 1: Gestion du document
| Référence |
CERTA-2005-AVI-033-002 |
| Titre |
Vulnérabilité des
serveurs DNS BIND |
| Date de la première
version |
27 janvier 2005 |
| Date de la dernière
version |
10 juin 2005 |
| Source(s) |
Avis 20050125-00059 et
20050125-00060 du NISCC |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
Déni de service.
Tout système offrant un service DNS par
l'intermédiaire de BIND en
versions 8.4.4, 8.4.5 et 9.3.0.
Un utilisateur distant mal intentionné peut provoquer
l'arrêt du service DNS (et par ricochet de tout service
utilisant la résolution de nom), en abusant d'une faille
concernant soit les versions 8.4.4 et 8.4.5, soit la version
9.3.0.
-
Versions 8.4.4 et 8.4.5 (CAN-2005-0033) :
les interrogations déjà
réalisées sont stockées dans un
tableau dont les limites mémoire sont mal
gérées et peuvent donc provoquer un
déni de service par débordement.
-
Version 9.3.0 (CAN-2005-0034) :
Un test de validation DNSSEC est basé sur un
postulat incorrect et peut donc interrompre le service lors
d'une requête légitime d'après la
norme.
-
Versions 8.4.4 et 8.4.5 :
Désactiver l'interrogation récursive
(«recursion»), s'il ne s'agit pas d'un serveur
cache, ainsi que la récupération des
enregistrements annexes («glue fetching» :
récupération de l'adresse IP en sus lors
d'une interrogation NS, par exemple).
-
Version 9.3.0 :
Désactiver DNSSEC ou simplement la validation
DNSSEC dans les options.
Mettre à jour les sources en version 8.4.6 ou
9.3.1beta2 au moins.
- 27 janvier 2005
- version initiale.
- 31 janvier 2005
- ajout de la référence CVE et des
références aux bulletins de
sécurité Mandrake et NetBSD.
- 10 juin 2005
- ajout de la référence au bulletin de
sécurité FreeBSD.
CERTA
2012-01-04
|
|
)
