S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 08 janvier 2009 No CERTA-2009-AVI-009

Affaire suivie par :

CERTA

Objet : Vulnérabilité de ISC BIND

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Contournement de la politique de sécurité.

2 Systèmes affectés

• BIND 9.0 ;
• BIND 9.1 ;
• BIND 9.2 ;
• BIND 9.3.x pour les versions antérieures à 9.3.6-P1 ;
• BIND 9.4.x pour les versions antérieures à 9.4.3-P1 ;
• BIND 9.5.x pour les versions antérieures à 9.5.1-P1 ;
• BIND 9.6.0 sans le correctif P1.

3 Résumé

Une vulnérabilité a été identifiée dans BIND. Elle correspond à la vulnérabilité OpenSSL citée dans l'avis CERTA-2009-AVI-006.

4 Description

Une vulnérabilité a été identifiée dans BIND. Elle correspond à la vulnérabilité OpenSSL citée dans l'avis CERTA-2009-AVI-006. Cette vulnérabilité concerne les mises en œuvre de BIND utilisant DNSSEC.

5 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

• Avis de sécurité ISC BIND du 07 janvier 2009 :

  http://www.isc.org/node/373
  

• Page officielle de téléchargement pour ISC BIND :

  http://www.isc.org/downloadables/11
  

• Référence CVE CVE-2008-5077 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5077
  

• Référence CVE CVE-2009-0025 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0025
  

• Avis du CERTA CERTA-2009-AVI-006 du 07 janvier 2009 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-006/
  

• Article associé ISC SANS du 07 janvier 2009 :

  http://isc.sans.org/diary.html?storyid=5641
  

Gestion détaillée du document

08 janvier 2009

version initiale.