Bulletins

Des vulnérabilités de haute gravité dans le serveur BIND

bs1.jpg

L'Internet Systems Consortium (ISC) a publié des mises à jour de sécurité pour résoudre quatre problemes de sécurité de haute gravité dans le logiciel serveur Berkeley Internet Name Domain (BIND) largement déployé.

Deux de ces problèmes, ayant un score CVSS de 7.0, affectent la version 9.18 de BIND. Le premier (CVE-2022-0635) est décrit comme "l'insistance sur les DNAME avec synth-from-dnssec activé". Tandis que le second (CVE-2022-0667) est lié à la fonction resume_dslookup() et pourrait entraîner la sortie du processus BIND.

Un autre problème de haute gravité résolu par ISC affecte les versions de BIND 9.11.0 à 9.11.36, 9.12.0 à 9.16.26, et 9.17.0 à 9.18.0. Les versions précédentes peuvent également être affectées.

Tracée sous le nom de CVE-2021-25220 (score CVSS de 6.2), la vulnérabilité réside dans l'utilisation de forwarders : "Les faux enregistrements NS fournis par, ou via, ces transitaires peuvent être mis en cache et utilisés par named s'il doit effectuer une récursion pour une raison quelconque, ce qui l'amène à obtenir et à transmettre des réponses potentiellement incorrectes".

Ainsi, des enregistrements incorrects pourraient empoisonner le cache et des requêtes pourraient être adressées aux mauvais serveurs. Ainsi, les clients peuvent recevoir de fausses informations. La suppression des possibilités de transfert ou de récursion peut empêcher le bogue.

L'ISC indique qu'il n'a pas connaissance d'exploits actifs ciblant l'une de ces vulnérabilités. L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) encourage les utilisateurs et les administrateurs à consulter les avis de l'ISC et à corriger les bogues dès que possible.