Vulnérabilité dans le serveur DNS Bind
Date de publication :
CVE-2020-8625[Score CVSS v3 : 8.1] : Les serveurs BIND sont vulnérables s'ils exécutent une version affectée et sont configurés pour utiliser les fonctionnalités du GSS-TSIG. Dans une configuration qui utilise les paramètres par défaut de BIND, le chemin de code vulnérable n'est pas exposé, mais un serveur peut être rendu vulnérable en définissant explicitement des valeurs valides pour les options de configuration tkey-gssapi-keytab ou tkey-gssapi-credentialconfiguration. Bien que la configuration par défaut ne soit pas vulnérable, GSS-TSIG est fréquemment utilisé dans les réseaux où BIND est intégré à Samba, ainsi que dans les environnements à serveurs mixtes qui combinent des serveurs BIND avec des contrôleurs de domaine Active Directory. Un attaquant distant et non-authentifié peut potentiellement provoquer un déni de service de Bind et injecter du code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Injection de code arbitraire
Criticité
- Score CVSS v3 : 8.1
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible à l’heure actuelle.
Composants vulnérables
Les version suivantes du logiciel BIND sont impactées par cette vulnérabilité :
- De v9.5.0 à v9.11.27
- De v9.12.0 à v9.16.11
- De v9.11.3-S1 à v9.11.27-S1
- De v9.16.8-S1 à v9.16.11-S1
- De v9.17.0 à v9.17.1 (branche développement)
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Bind vers une des versions suivantes :
- v9.11.28
- v9.16.12
- v9.11.28-S1 (Preview Edition)
- v9.16.12-S1 (Preview Edition)
Solution de contournement
- Aucune solution de contournement n’est proposée à l’heure actuelle.