Plusieurs vulnérabilités de BIND corrigées dans Ubuntu
BIND, également connu sous le nom de Berkeley Internet Name Domain, est un logiciel de serveur DNS très répandu qui traduit les noms de domaine en adresses IP numériques et vice versa. Les serveurs BIND sont déployés sur l'internet par des organisations, des fournisseurs d'accès à l'internet (FAI) et des administrateurs de réseau pour gérer les enregistrements DNS et faciliter une communication efficace sur le web. Récemment, une série de vulnérabilités ont été découvertes dans la dernière version de BIND 9, ce qui suscite des inquiétudes quant aux possibilités d'exploitation et à la nécessité de prendre rapidement des mesures pour s'en prémunir.
En réponse à ces conclusions, l'équipe de sécurité d'Ubuntu a publié des mises à jour de sécurité cruciales dans plusieurs versions d'Ubuntu, notamment 22.04 LTS, 20.04 LTS et 23.10, afin d'atténuer les risques posés par ces vulnérabilités.
Aperçu des vulnérabilités de BIND
Les vulnérabilités identifiées dans bind9 englobent une série de problèmes, chacun ayant ses propres implications potentielles pour la sécurité du système.
Analyse de messages DNS volumineux (CVE-2023-4408)
Découverte par Shoham Danino, Anat Bremler-Barr, Yehuda Afek et Yuval Shavitt, cette vulnérabilité est liée à un mauvais traitement des messages DNS volumineux. L'exploitation de cette faille peut conduire à une consommation de ressources, déclenchant ainsi un déni de service.
Validation des messages DNSSEC (CVE-2023-50387)
Elias Heftrig, Haya Schulmann, Niklas Vogel, et Michael Waidner ont découvert une vulnérabilité dans la gestion des messages DNSSEC par BIND 9. En exploitant cette faille, les attaquants peuvent provoquer l'épuisement des ressources, ce qui entraîne un déni de service.
NSEC3 Closest Encloser Proof (CVE-2023-50868)
Cette vulnérabilité concerne le traitement incorrect de la préparation de la preuve de l'enfermement le plus proche de NSEC3. Les attaquants pourraient tirer parti de cette faiblesse pour épuiser les ressources, ce qui conduirait à un déni de service.
Requêtes de zone inversée avec nxdomain-redirect activé (CVE-2023-5517)
La mauvaise gestion par BIND9 des requêtes de zones inversées dans des conditions spécifiques, comme lorsque nxdomain-redirect est activé, peut être exploitée par des attaquants distants pour planter le serveur, facilitant ainsi une attaque par déni de service.
Modèles de requêtes récursives spécifiques (CVE-2023-6516)
Une vulnérabilité existe dans la gestion par BIND 9 de certains modèles de requêtes récursives. Des attaquants pourraient exploiter cette faille pour déclencher une consommation de mémoire, provoquant par la suite un déni de service.
Toutes les vulnérabilités ont un score CVSS v3 de 7,5 (élevé), à l'exception de CVE-2023-50868, dont le score est encore en attente.
Stratégies d'atténuation
Pour remédier aux vulnérabilités de BIND, des mises à jour ont été déployées, portant la version logicielle de bind9 à 9.6.48. Ces mises à jour ne corrigent pas seulement les problèmes de sécurité, mais incluent également des corrections de bogues, introduisent de nouvelles fonctionnalités et peuvent apporter des changements incompatibles. Il est impératif que les administrateurs et les utilisateurs de bind9 appliquent rapidement ces mises à jour à leurs systèmes afin de réduire les risques posés par les exploits potentiels. Les mises à jour de sécurité de Debian ont également été publiées pour corriger ces vulnérabilités.
Source : USN-6642-1, USN-6633-1