Vulnérabilités dans Bind

De multiples vulnérabilités ont été découvertes dans Bind, un serveur DNS. Un attaquant distant non-authentifié peut provoquer un déni de service, ainsi qu’utiliser le déni de service en tant qu amplificateur dans une attaque par déni de service distribué.

CVE-2019-6477 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déni de service a été découverte dans Bind. Un attaquant distant non-authentifié peut provoquer un ralentissement du service via l’envoi via l’envoi de communications TCP spécialement conçues.

CVE-2020-8616 [Score CVSS v3 : 8.6] : Une vulnérabilité de type déni de service a été découverte dans Bind. Un attaquant distant non-authentifié peut causer un important ralentissement du serveur via l’envoi d’un “referral” DNS spécialement conçu. Additionnellement, il est possible pour l’attaquant d’utiliser le serveur vulnérable comme un facteur d’amplification dans une attaque de déni de service distribué.

CVE-2020-8617 [Score CVSS v3 : 7.5] : Une vulnérabilité menant à un état incohérent a été découverte dans Bind. Un attaquant distant non-authentifié peut, après avoir deviné le nom de la clé TSIG utilisée par le serveur, mener ce dernier à s’exécuter dans un état incohérent pouvant produire des résultats qualifiés de dangereux.

CVE-2020-8620 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déni de service a été découverte dans Bind. Un attaquant distant non-authentifié peut provoquer un plantage du service via l’envoi de communications TCP spécialement conçues.

CVE-2020-8621 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déni de service a été découverte dans Bind. Un attaquant distant non-authentifié peut provoquer un plantage du service via l’envoi de requêtes spécialement conçues.

CVE-2020-8623 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déni de service a été découverte dans Bind. Un attaquant distant non-authentifié peut provoquer un plantage du service via l’envoi de paquets spécialement conçus.

Informations
+

Risques

  • Déni de service

  • Utilisation du serveur vulnérable dans une attaque par déni de service distribuée

Criticité

  • Score CVSS v3 : 8.6

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

  • Les versions affectées diffèrent d’une vulnérabilité à l’autre. La liste des composants vulnérables est disponible au cas par cas sur les pages NVD associées.

CVE

  • CVE-2019-6477

  • CVE-2020-8616

  • CVE-2020-8617

  • CVE-2020-8620

  • CVE-2020-8621

  • CVE-2020-8623


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Bind vers une version non-vulnérable

  • Appliquer les mises à jour de sécurité proposées par la distribution utilisée

Solution de contournement

  • Aucune solution de contournement n’est disponible