Vulnérabilités de BIND : Publication de mises à jour de sécurité urgentes
Plusieurs vulnérabilités de haut niveau ont été découvertes dans BIND, exposant potentiellement des millions de serveurs DNS à des attaques par déni de service. Ces problèmes ont donné lieu à des mises à jour de sécurité urgentes de la part des principales distributions Linux telles qu'Ubuntu et Debian. Dans cet article, nous explorons les détails de ces vulnérabilités, leur impact potentiel, et fournissons des conseils sur la façon de protéger vos systèmes Linux.
Comprendre les vulnérabilités de Bind
CVE-2024-0760 (Score de gravité CVSS v3 : 7.5 élevé)
Il a été découvert que BIND ne gérait pas correctement un flux de messages DNS sur TCP, ce qui pouvait provoquer une instabilité lors de l'attaque. Un attaquant distant peut exploiter cette vulnérabilité pour déstabiliser BIND, conduisant à un déni de service. L'implémentation d'ACLs n'empêchera pas cette attaque.
CVE-2024-1737 (Score de gravité CVSS v3 : 7.5 élevé)
Bind pourrait être submergé par un grand nombre d'enregistrements de ressources (RR) existant simultanément, ce qui conduirait à l'épuisement des ressources et à une situation de déni de service (DoS).
CVE-2024-1975 (Score de gravité CVSS v3 : 7.5 élevé)
Ce problème provient de la mauvaise gestion par Bind d'un grand nombre de requêtes signées SIG(0). Un attaquant distant peut exploiter cette vulnérabilité pour amener Bind à épuiser les ressources du processeur, ce qui conduit à un déni de service.
Cette vulnérabilité est liée à la mauvaise gestion par Bind du service des données de cache stables et du contenu des zones faisant autorité. Un attaquant distant peut utiliser cette faille pour planter le serveur Bind, ce qui entraîne un déni de service.
Comment rester en sécurité
Pour remédier à ces problèmes critiques, Ubuntu et Debian ont publié des mises à jour de sécurité pour leurs versions compatibles.
Ubuntu: Des mises à jour sont disponibles pour Ubuntu 24.04 LTS, Ubuntu 22.04 LTS et Ubuntu 20.04 LTS.
Debian: Des correctifs de sécurité ont été fournis pour Debian 11 et Debian 12.
Il est impératif de mettre à jour vos paquets BIND vers les dernières versions afin d'atténuer ces risques. Vous pourrez ainsi non seulement remédier aux vulnérabilités, mais aussi bénéficier de corrections de bogues, de nouvelles fonctionnalités et d'une stabilité accrue.
Le défi des anciennes distributions Linux
Alors qu'Ubuntu et Debian proposent des mises à jour de sécurité opportunes pour leurs versions prises en charge, les organisations qui utilisent encore des distributions Linux en fin de vie (EOL) sont confrontées à des risques de sécurité importants. Ces systèmes obsolètes ne reçoivent plus de correctifs de sécurité essentiels, ce qui les expose à diverses vulnérabilités, comme celle de Bind, découverte récemment.
Pour y remédier, envisagez d'utiliser l'Extended Lifecycle Support (ELS) de TuxCare. ELS fournit des mises à jour de sécurité continues pour une gamme de systèmes EOL, y compris CentOS 6, CentOS 7, CentOS 8, CentOS Stream 8, Oracle Linux 6, Ubuntu 16.04, et Ubuntu 18.04.
Pour les vulnérabilités Bind susmentionnées, vous pouvez suivre l'état des correctifs ELS dans les différentes versions en utilisant le traqueur CVE de TuxCare.
Réflexions finales
Les vulnérabilités de BIND soulignent l'importance de maintenir votre infrastructure DNS à jour et sécurisée. En appliquant rapidement les correctifs de sécurité et en envisageant des options de support étendu pour les systèmes plus anciens, vous pouvez réduire de manière significative le risque d'attaques réussies et protéger votre organisation contre des perturbations potentielles.
Découvrez les dangers de l'utilisation de Linux en fin de vie dans cette fiche technique.
Source : USN-6909-1