Un avertissement a été émis par Internet Systems Consortium (ISC) sur une grande vulnérabilité qui pourrait être mise à profit dans les attaques DoS dans le logiciel BIND open-source. La vulnérabilité a été découverte par le chercheur en sécurité Tony Finch de l'Université de Cambridge, et a été identifié comme CVE-2018-5740.
Description de CVE-2018-5740
“refuser-réponse-alias” est une caractéristique peu utilisée pour but d'aider les opérateurs de serveurs récursifs protéger les utilisateurs finaux contre les attaques DNS de reconsolidation, une méthode potentielle de contourner le modèle de sécurité utilisé par les navigateurs clients. Cependant, un défaut de cette fonctionnalité facilite, lorsque la fonction est en cours d'utilisation, de faire l'expérience d'un INSISTEZ échec d'assertion dans name.c.
Quel est l'impact de CVE-2018-5740?
Le déclenchement accidentel ou délibéré de la faille décrite conduira à un INSISTER échec d'assertion dans le nom, provoquant le processus appelé à arrêter l'exécution et entraînant un refus de service aux clients, ISC expliqué dans un avis. Seuls les serveurs qui ont explicitement permis à la “refuser-réponse-alias” fonction sont à risque. Si, la désactivation de la fonction empêche l'exploitation, l'organisation a ajouté.
Pour contrer l'exploit, “la plupart des opérateurs ne auront pas besoin d'apporter des modifications à moins qu'ils utilisent la “refuser-réponse-alias” fonctionnalité (qui est décrit dans le BIND 9 Référence Manuel adminstrator section 6.2.) “refuser-réponse-alias” est désactivée par défaut; seules les configurations qui permettent explicitement peuvent être affectés par ce défaut“.
En savoir plus sur le logiciel BIND
BIND est un logiciel open-source qui permet aux individus de publier leur système de noms de domaine (DNS) informations sur Internet, et pour résoudre les requêtes DNS pour leurs utilisateurs. Quant à la signification de l'abréviation, BIND signifie « Berkeley Internet Name Domain ». historiquement, le logiciel est née au début des années 1980 à l'Université de Californie à Berkeley. Il semble qu'il est le plus largement adopté le logiciel DNS sur Internet. Cette grande adoption peut avoir créé une condition préalable à des attaquants d'exploiter plusieurs versions du logiciel.
Plus précisement, ISC a rapporté que les versions de BIND suivantes sont affectées par CVE-2018-5740:
versions 9.7.0 — 9.8.8, 9.9.0 — 9.9.13, 9.10.0 — 9.10.8, 9.11.0 — 9.11.4, 9.12.0 — 9.12.2, et 9.13.0 — 9.13.2.
Heureusement, aucun exploit actif de la vulnérabilité sont connus. Pour contourner ce problème, cette vulnérabilité peut être évité en désactivant le “refuser-réponse-alias” fonctionnalité, dans le cas où il est utilisé.
Dans 2016, les chercheurs de Trend Micro ont déterré une autre vulnérabilité de BIND qui était connu sous le nom CVE-2016-2776. Cette vulnérabilité peut être activé quand un serveur DNS construit une réponse à une requête forgée où la taille de la réponse traverse la taille de la réponse DNS par défaut (512). ISC fixé rapidement deux fonctions vulnérables (dns_message_renderbegin () et dns_message_rendersection() ) pour corriger la vulnérabilité. Malgré la réaction rapide, le défaut a été activement exploitée dans des attaques.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: