Vulnérabilités dans le logiciel de serveur DNS Bind
Date de publication :
CVE-2021-25215 [Score CVSS v3 : 7.5]
Les enregistrements DNAME, décrits dans la RFC 6672, fournissent un moyen de rediriger un sous-arbre de l'arbre des noms de domaine dans le DNS. Une faille dans la façon dont la fonction named traite ces enregistrements peut déclencher une tentative d'ajouter la même trame RRset à la section ANSWER plus d'une fois. Cela entraîne l'échec d'une vérification d'assertion dans BIND.
Les enregistrements DNAME sont traités à la fois par les serveurs faisant autorité et par les serveurs récursifs. Pour les serveurs faisant autorité, l'enregistrement DNAME déclenchant la faille peut être récupéré dans une base de données de zone. Pour les serveurs récursifs, un tel enregistrement est traité au cours d'une requête envoyée à un serveur faisant autorité.
Lorsqu'une version vulnérable de la fonction named reçoit une requête pour un enregistrement déclenchant la faille décrite ci-dessus, le processus named s'arrête en raison de l'échec de la vérification d'assertion créant ainsi une condition de déni de service.
CVE-2021-25216 [Score CVSS v3 : 8.1]
Une vulnérabilité impactant les serveurs BIND utilisant les fonctionnalités GSS-TSIG a été corrigée. Dans une configuration qui utilise les paramètres par défaut de BIND, le chemin de code vulnérable n'est pas exposé. Toutefois, un serveur peut être rendu vulnérable en définissant explicitement des valeurs pour les options de configuration tkey-gssapi-keytab ou tkey-gssapi-credential. Bien que la configuration par défaut ne soit pas vulnérable, GSS-TSIG est fréquemment utilisé dans les réseaux où BIND est intégré à Samba, ainsi que dans les environnements à serveurs mixtes qui combinent des serveurs BIND avec des contrôleurs de domaine Active Directory. Pour les serveurs qui remplissent ces conditions, l'implémentation ISC SPNEGO est vulnérable à diverses attaques, en fonction de l'architecture CPU pour laquelle BIND a été construit :
- Pour les binaires nommés compilés pour les plateformes 64 bits, cette faille peut être utilisée pour déclencher une lecture hors-limite du tampon mémoire, conduisant à un crash du serveur.
- Pour les binaires nommés compilés pour les plateformes 32 bits, cette faille peut être utilisée pour déclencher un crash du serveur dû à un dépassement de tampon et éventuellement aussi pour réaliser une exécution de code à distance.
Ces vulnérabilités sont exploitables par un attaquant distant et non authentifié.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Exposition d’informations sensibles
- Exécution de code arbitraire
Criticité
- Scores CVSS v3 : 8.1 max
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
Les versions suivantes de Bind sont impactées par ces vulnérabilités :
- De 9.0.0 à 9.11.29
- De 9.12.0 à 9.16.13
- De 9.9.3-S1 à 9.11.29-S1
- De 9.16.8-S1 à 9.16.13-S1
- De 9.17.0 à 9.17.1
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Bind conformément aux instructions de l’éditeur en référence de ce bulletin.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.