Une vulnérabilité importante pouvant provoquer un déni de service a été identifiée dans ISC BIND

Une vulnérabilité a été identifiée dans la fonction deny-answer-aliases1 du serveur DNS ISC BIND. Elle permettrait à un attaquant distant d’arrêter le service BIND en provoquant un échec de l’assertion INSIST dans ‘name.c’.

La vulnérabilité affecte uniquement les serveurs utilisant la fonction deny-answer-aliases qui est par défaut désactivée.

1 La fonction deny-answer-aliases est généralement utilisée pour protéger les serveurs des attaques de type DNS Rebinding

Informations
+

Risque

  • Déni de service

Criticité

  • CVSS v3 : 7.5

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • ISC BIND versions 9.7.0->9.8.8, 9.9.0->9.9.13, 9.10.0->9.10.8, 9.11.0->9.11.4, 9.12.0->9.12.2, 9.13.0->9.13.2

CVE

  • CVE-2018-5740

Recommandations
+

Correctifs

  • Un correctif de sécurité a été publié pour les différentes versions de BIND : 
    • 9.9.13-P1
    • 9.10.8-P1
    • 9.11.4-P1
    • 9.12.2-P1

Solution de contournement

  • Désactiver la fonction deny-answer-aliases