Bulletin d'alerte Debian

DLA-2568-1 bind9 -- Mise à jour de sécurité pour LTS

Date du rapport :
19 février 2021
Paquets concernés :
bind9
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-8625.
Plus de précisions :

Il a été découvert qu’il existait une possibilité d’attaque par dépassement de tampon dans le serveur DNS bind9 causée par un problème dans la politique de négociation de sécurité dans GSSAPI (« Generic Security Services »).

  • CVE-2020-8625

    Les serveurs BIND étaient vulnérables s’ils exécutaient une version affectée et étaient configurés pour utiliser les fonctionnalités de GSS-TSIG. Dans une configuration utilisant les réglages par défaut de BIND, le code de chemin vulnérable n’est pas exposé, mais le serveur peut être rendu vulnérable en réglant explicitement des valeurs autorisées pour les options de configuration de tkey-gssapi-keytab ou tkey-gssapi-credentialconfiguration. Quoique la configuration par défaut ne soit pas vulnérable, GSS-TSIG est couramment utilisé dans les réseaux où BIND est intégré avec Samba, ainsi que dans les environnements de serveurs mixtes qui combinent des serveurs BIND avec des contrôleurs de domaine Active Directory. Le résultat le plus probable d’une exploitation réussie de la vulnérabilité est un plantage du processus nommé. Cependant, une exécution de code à distance, bien que non prouvée, est théoriquement possible. Sont affectés les versions BIND 9.5.0 -> 9.11.27, 9.12.0 -> 9.16.11 et les versions BIND 9.11.3-S1 -> 9.11.27-S1 et 9.16.8-S1 -> 9.16.11-S1 de BIND Supported Preview Edition. Sont aussi affectées les versions 9.17.0 -> 9.17.1 de la branche de développement BIND 9.17.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1:9.10.3.dfsg.P4-12.3+deb9u8.

Nous vous recommandons de mettre à jour vos paquets bind9.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.