Nouvelles vulnérabilités dans BIND
Sources
Risques
Un attaquant peut exploiter les vulnérabilités de BIND pour exécuter une attaque de déni de service, DoS.
Les chercheurs ont découvert deux vulnérabilités qui ont un impact sur BIND.
La première vulnérabilité CVE-2020-8617 vise spécifiquement les clients DNS, tandis que CVE-2020-8616 introduit une nouvelle approche pour exécuter des attaques d'amplification DNS.
Description
CVE-2020-8616
Un attaquant peut exploiter cette vulnérabilité en envoyant des références spécifiquement conçues à un serveur récurrent afin d'émettre un grand nombre de fetches pour tenter de traiter la référence. Les performances se dégraderont considérablement en raison de la charge de travail supplémentaire nécessaire pour effectuer les recherches. De plus, l'attaquant peut utiliser le serveur récurrent pour lancer une attaque par réflexion avec un facteur d'amplification élevé.
CVE-2020-8617
Un attaquant pourrait faire en sorte qu'un serveur BIND atteigne un état d'inconsistance en envoyant un message spécifiquement conçu pour ce processus. Ce message ne peut être élaboré que si l'attaquant connaît ou devine avec succès le nom d'une clé TSIG utilisée par le serveur.
Les logiciels concernés sont ISC BIND (CVE-2020-8616), NLnet labs Unbound (CVE-2020-12662), PowerDNS (CVE-2020-10995) et CZ.NIC Knot Resolver (CVE-2020-12667).
Actions recommandées
CERT.be recommande aux administrateurs de serveurs qui possèdent des serveurs DNS de mettre à jour le logiciel de résolution DNS à la dernière version.