ISC identifie et corrige deux vulnérabilités dans DHCP et BIND

Les mises à jour publiées par l'ISC (Internet Systems Consortium) pour BIND et DHCP corrigent des failles de sécurité exploitables à distance qui ont provoqué le blocage de certains serveurs DNS.

CVE-2017-3144 est une vulnérabilité provenant de l'échec du nettoyage des connexions OMAPI1 fermées. Elle peut entraîner l'épuisement de l'ensemble de descripteurs de socket disponibles pour le serveur DHCP. En exploitant cette vulnérabilité, un attaquant autorisé à établir des connexions au port de contrôle OMAPI peut épuiser l'ensemble de descripteurs de socket disponibles pour le serveur DHCP.

Une fois l'ensemble de descripteurs de socket disponibles épuisé, le serveur n'acceptera plus de connexions supplémentaires, refusant potentiellement l'accès aux connexions légitimes de l'opérateur du serveur. Pendant que le serveur continuera de recevoir et de traiter les demandes DHCP des clients, l'opérateur peut être dans l'incapacité d'utiliser OMAPI pour contrôler l'état du serveur.
 
CVE-2017-3145 est la référence de la deuxième vulnérabilité qui est moins critique que la première. BIND enchaînait incorrectement des opérations de nettoyage, ce qui provoquait dans certains cas une vulnérabilité use-after-free qui pouvait déclencher un échec d'assertion et un plantage dans named.

Alors que toutes les instances de BIND devraient être corrigées, seules les versions ISC [9.9.9-P8 à 9.9.11, 9.10.4-P8 à 9.10.6, 9.11.0-P5 à 9.11.2, 9.9.9-S10 à 9.9.11-S1, 9.10.5-S1 à 9.10.6-S1, et 9.12.0a1 à 9.12.0rc1] agissant en tant que solveurs de validation DNSSEC sont actuellement connues pour se bloquer en raison de ce défaut. Le crash connu est un échec d'assertion dans netaddr.c2.

ISC a développé un correctif et prévoit de l'ajouter à une future version de maintenance de DHCP. En attendant, les utilisateurs peuvent se protéger contre les attaques potentielles en interdisant l'accès au port de contrôle OMAPI par des clients non autorisés. Les organisations peuvent également obtenir le correctif d'ISC et l'intégrer dans leur propre code.

1OMAPI - Object Management Application Programming Interface : une couche de programmation conçue pour contrôler les applications distantes et pour les interroger sur leur état. 
2netaddr.c : Une fonction pour obtenir l'adresse Internet ASCII séparée par des points de l'hôte local

Informations
+

Impact

  • Déni de service

Criticité

  • CVE-2017-3144 CVSS v3 : 5.3
  • CVE-2017-3145 CVSS v3 : 7.5

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • CVE-2017-3144 : DHCP 4.1.0 à 4.1-ESV-R15, 4.2.0 à 4.2.8, 4.3.0 à 4.3.6. Les versions plus anciennes peuvent également être affectées mais sont bien au-delà de leur fin de vie. Les versions antérieures à 4.1.0 n'ont pas été testées.
  • CVE-2017-3145 : BIND 9.0.0 à 9.8.x, 9.9.0 à 9.9.11, 9.10.0 à 9.10.6, 9.11.0 à 9.11.2, 9.9.3-S1 à 9.9.11-S1, 9.10.5-S1 à 9.10.6-S1, 9.12.0a à 9.12.0rc1

CVE

  • CVE-2017-3144
  • CVE-2017-3145

Recommandations
+

Correctifs

  • CVE-2017-3144 : ISC a écrit un correctif qui nettoie correctement les connexions fermées et l'inclura dans les futures versions de maintenance de ISC DHCP. Le correctif est également disponible sur demande (à security-officer@isc.org) aux parties qui souhaitent l'incorporer dans leur propre code avant les prochaines versions de maintenance ISC. Cependant, l'organisation ne prévoit pas d'émettre un patch de sécurité spécial de DHCP pour résoudre ce problème car elle juge que la solution de contournement des connexions OMAPI à partir d'adresses client non autorisées devrait être suffisante dans presque tous les cas.
  • CVE-2017-3145 : mise à niveau vers la version corrigée la plus proche de la version actuelle de BIND . Celle-ci peut être téléchargée à partir de http://www.isc.org/downloads 

Solution de contournement

  • CVE-2017-3144 : La solution recommandée consiste à interdire l'accès au port de contrôle OMAPI à partir de clients non autorisés (conformément aux meilleures pratiques pour le fonctionnement du serveur).
  • CVE-2017-3145 : Si un opérateur subit des plantages à cause de cela, la désactivation temporaire de la validation DNSSEC peut être utilisée.