Bulletin d'alerte Debian
DSA-2208-1 bind9 -- Déni de service
- Date du rapport :
- 30 mars 2011
- Paquets concernés :
- bind9
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2011-0414.
- Plus de précisions :
-
On a découvert que BIND, un serveur DNS, contient une situation de compétition lors du traitement de mise à jour des zones sur un serveur faisant autorité, soit à l'aide de mises à jour DNS dynamiques, soit avec un transfert de zone incrémentiel (IXFR). Une mise à jour comme celle-ci lors du traitement d'une requête peut conduire à un interblocage et un déni de service (CVE-2011-0414).
De plus, cette mise à jour de sécurité corrige un défaut lié au traitement de nouveaux enregistrement DS (signataires de délégation) DNSSEC par le résolveur de cache, ce qui pourrait conduire à des échecs de résolution de nom dans la zone déléguée. Si la validation DNSSEC est activée, ce problème rend les domaines finissant en .COM indisponibles quand l'enregistrement DS pour .COM est ajouté à la zone DNS racine le 31 mars 2011. Un serveur sans correctif affecté par ce problème peut être redémarré, réactivant ainsi la résolution des domaines en .COM. Ce contournement s'applique aussi à la version de oldstable.
Les configurations n'utilisant pas de validations DNSSEC ne sont pas concernées par ce second problème.
Pour la distribution oldstable (Lenny), le problème d'enregistrement DS a été corrigé dans la version 1:9.6.ESV.R4+dfsg-0+lenny1 (CVE-2011-0414 ne concerne pas la version de Lenny).
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1:9.7.3.dfsg-1~squeeze1.
Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1:9.7.3.dfsg-1.
Nous vous recommandons de mettre à jour vos paquets bind9.