SYNTHÈSE DE LA VULNÉRABILITÉ

Le serveur DNS Bind traite les algorithmes DNSSEC inconnus comme
des erreurs de signature.

Gravité : 1/4

Conséquences : déni de service du service

Provenance : serveur internet

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 23/03/2009

PRODUITS CONCERNÉS

– ISC BIND

DESCRIPTION DE LA VULNÉRABILITÉ

Le protocole DNSSEC permet d’authentifier les données des zones
DNS. L’extension DLV (DNSSEC Lookaside Validation) assure la
migration tant que toutes les racines ne sont pas signées.

Lorsque DLV utilise un algorithme non reconnu, comme NSEC3RSASHA1,
Bind traite la zone comme étant invalide, au lieu de la traiter
comme non signée. Cela perturbe l’ensemble de la zone concernée.

Actuellement, aucun TLD n’utilise DLV. Cependant, le .gov
l’utilisera à partir du premier mai 2009. Les serveurs DNS qui
n’auront pas été mis à jour rencontreront donc des soucis.

CARACTÉRISTIQUES

Références : VIGILANCE-VUL-8549

http://vigilance.fr/vulnerabilite/Bind-gestion-incorrecte-de-DNSSEC-DLV-8549