Vigil@nce : Bind, gestion incorrecte de DNSSEC DLV
mars 2009 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Le serveur DNS Bind traite les algorithmes DNSSEC inconnus comme
des erreurs de signature.
Gravité : 1/4
Conséquences : déni de service du service
Provenance : serveur internet
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 23/03/2009
PRODUITS CONCERNÉS
– ISC BIND
DESCRIPTION DE LA VULNÉRABILITÉ
Le protocole DNSSEC permet d’authentifier les données des zones
DNS. L’extension DLV (DNSSEC Lookaside Validation) assure la
migration tant que toutes les racines ne sont pas signées.
Lorsque DLV utilise un algorithme non reconnu, comme NSEC3RSASHA1,
Bind traite la zone comme étant invalide, au lieu de la traiter
comme non signée. Cela perturbe l’ensemble de la zone concernée.
Actuellement, aucun TLD n’utilise DLV. Cependant, le .gov
l’utilisera à partir du premier mai 2009. Les serveurs DNS qui
n’auront pas été mis à jour rencontreront donc des soucis.
CARACTÉRISTIQUES
Références : VIGILANCE-VUL-8549
http://vigilance.fr/vulnerabilite/Bind-gestion-incorrecte-de-DNSSEC-DLV-8549