Présence d'une vulnérabilité dans BIND 9

Une vulnérabilité a été signalée dans BIND 9. Un utilisateur distant authentifié pourrait exploiter cette vulnérabilité pour modifier les données sur le système cible dans certains cas. 

La documentation de la fonctionnalité 'update-policy' pour les règles de mise à jour 'krb5-subdomain' et 'ms-subdomain' peut amener certains opérateurs à croire que leurs types de règles 'krb5-subdomain' et/ou 'ms-subdomain' sont plus restrictifs. 

Par conséquent, un utilisateur distant authentifié à l'aide d'une machine Kerberos ou Windows valide, provenant du REALM spécifié dans le champ d'identité, pourrait modifier des enregistrements dans ou en dessous de la zone allouée à la valeur spécifiée dans le champ de nom. 

Informations
+

Impact

  • Atteinte à l'intégrité des données

Criticité

  • CVSS v3 : 6.5

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Toutes les versions de BIND 9 qui contiennent les règles de mise à jour de 'krb5-subdomain' et 'ms-subdomain', antérieures à BIND 9.11.5 et 9.12.3. Cependant, la documentation défectueuse n'est pas présente dans toutes les versions.

CVE

  • CVE-2018-5741

Recommandations
+

Correctifs

  • Aucune solution n'était disponible pour l'instant;
  • Les versions BIND 9.11.5 et 9.12.3 corrigeront cette vulnérabilité. Elles ne seront disponibles qu'en octobre 2018.

Solution de contournement

  • Une solution de contournement a été fournie sur l'avis ISC.