Bind de nouveau vulnérable.

Par Jerome Saiz, le 13 nov 2002 à 18:56:00.

Le serveur de noms le plus répandu d'Internet souffre de trois nouvelles failles jugées importantes. L'une d'elles permet d'en prendre le contrôle à distance, et les deux autres de le neutraliser. Les correctifs sont disponibles, et la toute dernière version n'est pas concernée.

Des trois vulnérabilités découvertes hier dans Bind, seule la première permet de réellement prendre le contrôle du serveur. Et encore, uniquement lorsque ce dernier est utilisé dans son mode par défaut (récursif). Mais pour qui connaît la popularité de Bind, utilisé pour résoudre les noms de domaines d'une très grande partie d'Internet, la moindre de ses failles prend vite une ampleur mondiale. Et c'est justement le cas aujourd'hui avec les découvertes de l'équipe X Force, de l'éditeur ISS.
Ces trois failles frappent les versions 4 (jusqu'à la 4.9.10) et 8 (jusqu'à la 8.3.3) du logiciel libre. La toute dernière version (9.2.1) n'est toutefois pas concernée.
La première bourde est un habituel dépassement de mémoire tampon. Il permettrait de prendre le contrôle du serveur si celui-ci fonctionne en mode dit "récursif" (c'est la configuration par défaut). La faille se situe dans une portion du code de Bind chargée de créer la réponse aux résolutions récursives (pour les spécialistes, il s'agit des Ressource Record, RR).
Les deux autres vulnérabilités ne permettent pas de prendre le contrôle du serveur, mais de le neutraliser. Il lui faut pour cela demander la résolution d'un nom sur une paire domaine existant / sous-domaine inexistant, ou bien donner une mauvaise valeur de durée de vie (TTL) aux enregistrements placés dans le cache du serveur.

Une attaque qui demande de la préparation

Afin d'exploiter ces trois attaques, le pirate devra à l'avance créer un serveur DNS et le déclarer comme ayant autorité sur toutes les zones, afin de forcer le serveur DNS cible à le contacter. Cela n'est toutefois pas très compliqué : les attaque par empoisonnement du cache exigent la même préparation, et sont relativement courantes.
Selon ISS, ces failles n'ont pas encore étés exploitées, et aucun outil automatisé ne circule pour les mettre en oeuvre. Mais l'éditeur remarque qu'elles sont simples à scripter, ce qui rendrait aisée l'écriture d'un ver capable de les utiliser pour se propager rapidement à travers Internet.
La meilleure parade à cela est de mettre Bind à jour. Lorsque ce n'est pas possible immédiatement, ISS conseille de désactiver le mode récursif, et de fonctionner en mode itératif. Si cela aussi n'est pas possible, une dernière mesure pourrait être de neutraliser le trafic TCP DNS, et de lui préférer le trafic UDP, pour lequel ces attaques n'ont pas étés encore observées.

Plus d'information

• L'alerte d'ISS.
• Télécharger Bind 9.
• Un outil en ligne pour tester les serveurs DNS.
• Une étude sur la sécurité des DNS.
• Les articles à propos des failles de Bind et des serveurs DNS sur Les Nouvelles.net.

A voir aussi

• PGP pour Windows encore vulnérable. (09 sept 2002)
• Hybris : un nouveau ver modulaire. (16 nov 2000)
• Un liste de produits SSH vulnérables. (30 jan 2003)
• Vingt-deux nouvelles vulnérabilités chez Microsoft. (13 oct 2004)
• Les Nouvelles de nouveau en ligne. (24 avril 2001)