Informations de sécurité / 2008 / Informations sur la sécurité -- DSA-1604-1 bind

Bulletin d'alerte Debian

DSA-1604-1 bind -- Empoisonnement de cache DNS

Date du rapport :

8 juillet 2008

Paquets concernés :

bind

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2008-1447.
Les annonces de vulnérabilité et les bulletins d'alerte du CERT : VU#800113.

Plus de précisions :

Dan Kaminsky a découvert que des propriétés inhérentes au protocole DNS conduisaient à des attaques par empoisonnement de cache DNS. Entre autres choses, des attaques réussies peuvent conduire à mal diriger du trafic sur la Toile et à rerouter des courriels.

Le code de la version 8 de Bind ne peut pas être modifié pour incorporer les contre-mesures recommandées (sélection aléatoire de port source, voir le bulletin de sécurité Debian n° 1603-1 pour de plus amples détails). Il y a deux façon de traiter cette situation :

1. Faire une mise à jour vers la version 9 de Bind (ou une autre implantation avec sélection aléatoire de port source). La documentation incluse dans la version 9 de Bind contient un guide de migration.

2. Configurer le solveur de la version 8 de Bind pour qu'il redirige les requêtes vers un solveur de la version 9 de Bind. En supposant que le réseau entre les deux solveurs est sûr, cela protège le solveur de la version 8 de Bind d'attaque par empoisonnement du cache (avec la même sécurité que le solveur de la la version 9 de Bind).

Ce problème ne s'applique pas à la version 8 de Bind lorsqu'elle est utilisée exclusivement comme serveur DNS officiel. Il est théoriquement possible d'utiliser la version 8 de Bind de cette manière de façon sûre, mais la mise à jour vers la version 9 de Bind est fortement recommandée. La version 8 de Bind (c'est-à-dire le paquet bind) sera supprimé de la distribution Etch dans une prochaine version intermédiaire.