Bulletin d'alerte Debian

DSA-3854-1 bind9 -- Mise à jour de sécurité

Date du rapport :
14 mai 2017
Paquets concernés :
bind9
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 860224, Bogue 860225, Bogue 860226.
Dans le dictionnaire CVE du Mitre : CVE-2017-3136, CVE-2017-3137, CVE-2017-3138.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans BIND, une implémentation de serveur DNS. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :

  • CVE-2017-3136

    Oleg Gorokhov de Yandex a découvert que BIND ne gère pas correctement certaines requêtes quand DNS64 est utilisé avec l'option « break-dnssec yes; », permettant à un attaquant distant de provoquer un déni de service.

  • CVE-2017-3137

    BIND fait des hypothèses incorrectes sur l'ordre des enregistrements dans la section réponse d'une réponse contenant des enregistrements de ressources CNAME ou DNAME, menant à des situations où BIND quitte avec un échec d'assertion. Un attaquant peut tirer avantage d'une telle situation pour provoquer un déni de service.

  • CVE-2017-3138

    Mike Lalumiere de Dyn, Inc. a découvert que BIND peut quitter avec un échec d'assertion REQUIRE s'il reçoit une chaîne de commande NULL sur son canal de contrôle. Notez que ce correctif est seulement appliqué à Debian comme mesure de renforcement. Des détails sur le problème peuvent être trouvés à l'adresse https://kb.isc.org/article/AA-01471 .

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1:9.9.5.dfsg-9+deb8u11.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:9.10.3.dfsg.P4-12.3.

Nous vous recommandons de mettre à jour vos paquets bind9.