Bulletin d'alerte Debian

DSA-5235-1 bind9 -- Mise à jour de sécurité

Date du rapport :

22 septembre 2022

Paquets concernés :

bind9

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans BIND, une implémentation de serveur DNS.

CVE-2022-2795
Yehuda Afek, Anat Bremler-Barr et Shani Stajnrod ont découvert qu'un défaut dans le code du solveur peut faire que named consomme une quantité excessive de temps lors du traitement de grandes délégations, dégradant significativement les performances du solveur ce qui a pour conséquence un déni de service.
CVE-2022-3080
Maksym Odinintsev a découvert que le solveur peut planter quand le cache de données périmées et les réponses périmées sont activées avec un stale-answer-timeout à zéro. Un attaquant distant peut tirer avantage de ce défaut pour provoquer un déni de service (plantage du démon) au moyen de requêtes contrefaites pour l'occasion au solveur.
CVE-2022-38177
Le code de vérification de DNSSEC pour l'algorithme ECDSA est exposé à un défaut de fuite de mémoire. Un attaquant distant peut tirer avantage de ce défaut pour provoquer la consommation de ressources par BIND, avec pour conséquence un déni de service.
CVE-2022-38178
Le code de vérification de DNSSEC pour l'algorithme EdDSA est exposé à un défaut de fuite de mémoire. Un attaquant distant peut tirer avantage de ce défaut pour provoquer la consommation de ressources par BIND, avec pour conséquence un déni de service.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 1:9.16.33-1~deb11u1.

Nous vous recommandons de mettre à jour vos paquets bind9.

Pour disposer d'un état détaillé sur la sécurité de bind9, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/bind9.