Des vulnérabilités critiques sont souvent exploités dans des scénarios d'attaque, variant de déni de service pour les cas d'infiltration de logiciels malveillants. Une vulnérabilité grave a récemment été patché, le genre qui permettrait à des attaquants d'effectuer des attaques par déni de service via le Berkeley Internet Name Domain (LIER) exploits. La vulnérabilité en question est connue sous la référence CVE-2016-2776, et a été découvert lors de tests internes par l'ISC.
Qu'est-ce que BIND?
LIER est un logiciel open source qui implémente le Domain Name System (DNS) les protocoles de l'Internet. Il est une implémentation de référence de ces protocoles, mais il existe également des logiciels de production de grade, adapté pour une utilisation dans les applications à volume élevé et à haute fiabilité. Le nom BIND signifie "Berkeley Internet Name Domain", parce que le logiciel est née au début des années 1980 à l'Université de Californie à Berkeley.
En outre, BIND est également connu comme la norme pour Linux et d'autres systèmes basés sur Unix. Cela signifie qu'un défaut peut avoir un impact d'un grand nombre de serveurs et d'applications. Comme déjà indiqué, la vulnérabilité de BIND pourrait être mis à profit dans les attaques DoS où diverses organisations peuvent être ciblées. Les attaques pourraient conduire à la désactivation, éteindre, ou de perturber un service, réseau, ou site web.
Des chercheurs disent que les attaques actives ont été signalés sur Octobre 5, peu de temps après une preuve de concept-a été libéré sur Octobre 1. En outre, les failles affectent les versions Bind9 y compris 9.9.9-P3, 9.10.x avant 9.10.4-P3, et 9.11.x avant 9.11.0rc3.
En savoir plus sur CVE-2016-2776
La vulnérabilité peut être activée lorsqu'un serveur DNS construit une réponse à une requête forgée où la taille de réponse traverse la taille de la réponse DNS par défaut (512). Apparemment, ISC a déjà fixé deux fonctions vulnérables (dns_message_renderbegin () et dns_message_rendersection() ) pour corriger la vulnérabilité.
Comme l'a expliqué TrendMicro, lorsqu'un serveur DNS construit une réponse pour une requête DNS, elle se réserve l'espace dans la mémoire tampon de réaction (qui est 512 en taille, par défaut), il va incrémenter le msg-> réservé par la taille requise pour réponse RR. La taille ajoute également dans msg-> taille réservée, ce qui serait le même si le tampon de réponse a d'autres enregistrements de ressources.
Avant patcher, le serveur ne prend pas en-têtes de DNS 12 octets fixes en considération, qui ajoute également le trafic de réponse après avoir rendu l'enregistrements de ressources de la requête grâce à la fonction dns_message_rendersection(). Donc, si la réponse DNS(r.length) le trafic est inférieur à 512 octets (msg-> réservé), la fonction retourne vrai, mais en ajoutant l'en-tête fixe de 12 octets provoquera le service de mettre fin si elle dépasse la taille réservée fixe 512 octets.
Le patch permet aux serveurs de diminuer la longueur d'en-tête de DNS de la longueur de la réponse totale par 12 octets. Ensuite, il la compare à la taille de la mémoire tampon réservée pour fournir des calculs corrects pour la taille de réponse.
mises à jour disponibles:
- LIER 9 Version 9.9.9-P3
- LIER 9 Version 9.10.4-P3
- LIER 9 Version 9.11.0rc3
- LIER 9 Version 9.9.9-S5