Vulnérabilité de BIND 9 de l'ISC pouvant provoquer un déni de service

Numéro : AV09-027
Date : 29 juillet 2009

But

Cet avis a pour but d'attirer l'attention sur une vulnérabilité de BIND 9 de l'ISC, qui pourrait permettre à un attaquant non authentifié de déclencher une situation de déni de service.

Évaluation

L'Internet Systems Consortium (ISC) a publié un avis au sujet d'une faille dans BIND qui peut provoquer un déni de service. Si cette faille est exploitée avec succès, le serveur DNS touché tombe en panne. La panne du serveur est déclenchée sur réception d'un message de mise à jour dynamique spécialement conçu. La réception de ce message dans une zone dont le serveur est maître peut provoquer la fermeture des serveurs BIND 9. Cette vulnérabilité touche tous les serveurs qui sont maîtres d'une ou de plusieurs zones. Sa portée ne se limite pas aux seuls systèmes qui sont configurés pour accepter les mises à jour dynamiques.

L'ISC a affirmé que les contrôles d'accès actuels pourraient, à eux seuls, ne pas constituer une protection suffisante contre cette vulnérabilité. Cependant, on peut configurer certains pare-feu pour que les règles de filtrage des paquets empêchent les messages nsupdate de se rendre jusqu'aux serveurs de noms DNS.  

Le CCRIC est au courant qu'un code d'exploitation de validation de principe est déjà disponible sur Internet. 

L'ISC a diffusé de nouvelles versions à jour de BIND qui ne sont pas vulnérables à cette faille.

On peut télécharger les versions à jour de BIND à partir des sites suivants:

Mesure suggérée

Le CCRIC recommande aux administrateurs de tester et de déployer ces mises à jour à la première occasion, conformément aux recommandations de votre distributeur ou fournisseur BIND.

Dans l'intervalle, le CCRIC recommande que les administrateurs testent et activent dans leur pare-feu une règle qui bloquera les messages de mise à jour dynamique comprenant un enregistrement de type « ANY » provenant d'Internet.  

Références (disponibles en anglais seulement) :

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :