ISC corrige deux vulnérabilités DoS de criticité moyenne affectant le logiciel DNS BIND

Deux vulnérabilités, l'une liée à l'implémentation de la fonctionnalité "serve-stale" dans BIND 9.12, l'autre liée à une erreur dans le comptage des références de la base de données de zone, ont été corrigées lors des dernières mises à jour du logiciel BIND. Leur exploitation permettrait à un attaquant de provoquer des déni de service (DoS). 

Des références CVEs ont été attribuées à ces vulnérabilités : 

  • CVE-2018-5736: un défaut dans le comptage des références de la base de données de zone peut provoquer un bogue si un serveur exécutant une version affectée de BIND tente plusieurs transferts successifs d'une zone esclave. Un transfert de zone consiste à répliquer les bases de données distribuées contenant les données DNS. Le client ou esclave, demande auprès du serveur maître la dernière version de la base de données et le serveur maître lui envoie s'il ne dispose pas de la dernière version. Ce défaut pourrait être exploité par un attaquant autorisé à initier des transferts de zone (par exemple: en envoyant des messages NOTIFY valides) sur un serveur vulnérable provoquant ainsi un déni de service.
  • CVE-2018-5737: un défaut dans l'implémentation de la fonctionnalité "serve-stale" dans BIND 9.12 permettrait de provoquer une erreur dans une fonction inconnue de rbtdb.c, même si l'option stale-answer-enable est désactivée. La mauvaise interaction avec d'autres fonctionnalités pourrait également induire provoquer un comportement indésirable, tel qu'une boucle de récursivité ou une journalisation excessive. L'exploitation de cette condition pourrait causer des problèmes opérationnels, en l'occurrence tels que des dénis de service.
Informations
+

Impact

  • Déni de service.

Criticité

  • CVSS v3 : 5.9 (Score CVSS de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • BIND 9.12.0 et 9.12.1.

CVE

  • CVE-2018-5736
  • CVE-2018-5737

Recommandations
+

Correctifs

  • Un patch de sécurité a été publié par ICS corrigeant la vulnérabilité.
  • La vulnérabilité est corrigée à partir de la version BIND 9.12.1-P2.

Solution d'atténuation

  • CVE-2018-5736 - Pour les serveurs qui recevant des notifications pour maintenir le contenu de la zone esclave à jour, aucune solution de contournement complète n'est connue. Cependant, restreindre BIND pour n'accepter que les messages NOTIFY provenant de sources autorisées peut atténuer le risque d'attaque.
  • CVE-2018-5737 - Le réglage "max-stale-ttl 0;" dans named.conf peut empêcher l'exploitation de la vulnérabilité. Cette manipulation désactive vraiment la fonctionnalité "serve-stale".
  • CVE-2018-5737 - Remarque : Le paramètre "enable-answer enable off" n'est pas suffisant pour combler la vulnérabilité.