Une vulnérabilité a été identifiée dans la fonction deny-answer-aliases1 du serveur DNS ISC BIND. Elle permettrait à un attaquant distant d’arrêter le service BIND en provoquant un échec de l’assertion INSIST dans ‘name.c’.
La vulnérabilité affecte uniquement les serveurs utilisant la fonction deny-answer-aliases qui est par défaut désactivée.
1 La fonction deny-answer-aliases est généralement utilisée pour protéger les serveurs des attaques de type DNS Rebinding
Risque
- Déni de service
Criticité
- CVSS v3 : 7.5
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- ISC BIND versions 9.7.0->9.8.8, 9.9.0->9.9.13, 9.10.0->9.10.8, 9.11.0->9.11.4, 9.12.0->9.12.2, 9.13.0->9.13.2
CVE
- CVE-2018-5740
Correctifs
- Un correctif de sécurité a été publié pour les différentes versions de BIND :
- 9.9.13-P1
- 9.10.8-P1
- 9.11.4-P1
- 9.12.2-P1
Solution de contournement
- Désactiver la fonction deny-answer-aliases