Actualités Actualités

Multiples vulnérabilités dans plusieurs produits DNS

Accueil > Observatoire & ressources > Actualités > Multiples vulnérabilités dans plusieurs produits DNS
Le 22/12/14

Une sérieuse faille de sécurité du DNS a été publiée le lundi 8 décembre 2014.

Découverte par Florian Maury, à l’ANSSI, elle porte le nom de « récursion infinie ».

Elle affecte uniquement les résolveurs DNS (et, dans certaines conditions, BIND, même lorsqu’il est serveur faisant autorité). Elle est présente dans plusieurs logiciels, au moins BIND (CVE-2014-8500), PowerDNS (CVE-2014-8601) et Unbound (CVE-2014-8602).

Elle ne semble pas présente dans le résolveur DNS de Microsoft Windows.

Cette faille permet une attaque par déni de service facile, stoppant le fonctionnement du résolveur en engageant peu de moyens. Il est donc nécessaire, pour tous les gérants de résolveurs DNS de mettre à jour  leurs logiciels rapidement.

Pour BIND, il faut passer aux versions 9.9.6-P1 et 9.10.1-P1
<https://kb.isc.org/article/AA-01224/81/BIND-9.9.6-P1-Release-Notes.html>
<https://kb.isc.org/article/AA-01223/81/BIND-9.10.1-P1-Release-Notes.html>

Pour Unbound, c’est la 1.5.1 « Fix CVE-2014-8602 : denial of service by making resolver chase endless series of delegations »
<https://unbound.nlnetlabs.nl/pipermail/unbound-users/2014-December/003663.html>

Pour PowerDNS, c’est la 3.6.2, déjà sortie il y a plusieurs semaines
<http://mailman.powerdns.com/pipermail/pdns-users/2014-December/011009.html>