Vigil@nce - BIND : déni de service via un Trust Anchor
septembre 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsque BIND emploie plusieurs Trust Anchors, l’un d’entre eux
peut envoyer une réponse invalide, afin de stopper BIND.
Gravité : 1/4
Date création : 15/09/2010
DESCRIPTION DE LA VULNÉRABILITÉ
L’extension DNSSEC permet d’authentifier les paquets DNS, à l’aide
d’une signature numérique. Un Trust Anchor est une autorité
publiant une signature racine.
ISC propose DLV (DNSSEC Look-aside Validation) qui fournit un
Trust Anchor alternatif, qui se configure dans le fichier
named.conf de BIND :
dnssec-lookaside . trust-anchor dlv.isc.org. ;
BIND peut être configuré avec plusieurs Trust Anchors. Cependant,
dans ce cas, si un Trust Anchor envoie un message avec une
signature invalide, une erreur se produit dans BIND, et le stoppe.
Lorsque BIND emploie plusieurs Trust Anchors, l’un d’entre eux
peut donc envoyer une réponse invalide, afin de stopper BIND.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/BIND-deni-de-service-via-un-Trust-Anchor-9943