Computer Emergency Response Team - Industrie Services et Tertiaire Le CERT dédié à la communauté Industrie, Services et Tertiaire française
Accès membres english version [english version]
ACCUEIL PRESENTATION RESSOURCES CONTACTS FAQ RECHERCHER
Avis de Sécurité
Avis et Alertes publics
Articles du Cert-IST
Liens utiles
Presse - Evénements
Version imprimante
Accueil | Ressources | Avis et Alertes publics | Avis de sécurité

Vulnérabilité DNS

Référence : CERT-IST/AV-2008.310
Version : 4.5
Date de la version : 02 septembre 2008

Classification de la vulnérabilité
Risque :
Elevé
Conséquence : Atteinte à l`intégrité des données
Tremplin
Niveau de confiance : Faille officielle
Niveau de connaissance de l'attaquant : Connaisseur
Moyen nécessaire à l'attaquant : Accès distant (sans compte) sur un service standard

Information sur le(s) système(s) impacté(s)
Plate(s)-forme(s) impactée(s) :
  • Indépendant de la plate-forme
Logiciel(s) impacté(s) :
  • Serveurs DNS
  • Clients DNS
Remarques : Cette vulnérabilité affecte potentiellement tous les serveurs et clients DNS. Les constructeurs suivants ont émis des avis de sécurité :
  • ISC BIND
  • Microsoft Windows
  • CISCO
  • Linux
  • Juniper
  • SUN

Description
Contexte de publication :
 [Version 4.0] Cet avis a été réémis le 04/08/2008 suite à la publication de nouvelles versions de BIND (9.5.0-P2, 9.4.2-P2 et 9.3.5-P2) qui corrigent les problèmes de performance présents dans les versions P1. 

[Version 3.0] Cet avis a été ré-émis en version 3.0 le 22/07/2008 suite à la publication du Danger Potentiel CERT-IST/DG-2008.007 ("Fuite d'informations techniques sur la faille DNS"). Le risque a en conséquence été augmenté à "Elevé". L'impact sur les performances du correctif ICS BIND a également été ajouté.

[Version 2.0]Nous réémettons cet avis (10/07/2008) car désormais de nombreux éditeurs fournissent des correctifs pour la vulnérabilité CVE-2008-1447.

Nota : Cet avis correspond à la vulnérabilité dans la note confidentielle envoyée aux représentants des membres du Cert-IST le 2 juillet 2008.
Nature du problème :
Une vulnérabilité a été découverte dans le protocole DNS (Domain Name Service). Cette vulnérabilité impacte tous les serveurs DNS (tous les constructeurs sont potentiellement touchés), mais également (dans une moindre mesure) tous les clients DNS. Cette vulnérabilité peut permettre à un attaquant distant de corrompre les données DNS des serveurs et clients DNS vulnérables. Typiquement cette corruption permet à un pirate de rediriger vers une machine de son choix tout le trafic réseau (email, web, ftp, etc..) normalement destiné à une autre machine (corruption des données DNS relatives au site légitime).
Analyse détaillée :
Du fait de l'ampleur du parc machine touché par cette vulnérabilité, les détails techniques pouvant permettre d'exploiter cette vulnérabilité sont conservés secrets.

Selon l'US-CERT il s'agirait d'une combinaison de plusieurs vulnérabilités déjà connues. Parmi ces vulnérabilités l'US-CERT cite les éléments suivants :
  • le champ "transaction ID" des requêtes DNS est de faible taille (16 bits) et parfois insuffisamment aléatoire.
  • certaines implémentations DNS génèrent des requêtes "query" multiples à propos du même enregistrement DNS.
  • certaines implémentations DNS utilisent un numéro de port source prédictible (pour effectuer des requêtes DNS).
Cette vulnérabilité concerne les serveurs DNS, mais aussi les "resolvers" présents sur les machines clientes DNS. L'attaque d'un serveur DNS affecte tous les clients qui utilisent ce serveur. L'attaque d'un client DNS affecte uniquement ce client. Il est donc prioritaire de corriger les serveurs DNS.

Solution

01 - Outils d'aide à l'identification des serveurs DNS vulnérables

    Le Cert-IST recommande l'approche suivante pour déployer les correctifs à la vulnérabilité DNS :
    • 1) Identifier les serveurs DNS de l'organisation.
    • 2) Identifier les serveurs les plus vulnérables.
    • 3) Appliquer les correctifs sur les serveurs les plus vulnérables, puis sur les autres serveurs DNS.
    • 4) Appliquer les correctifs sur les systèmes "clients DNS".

    Pour l'étape "2)" les outils ci-dessous sont disponibles.

02 - Appliquer les correctifs de ISC BIND pour la vulnérabilité DNS

    L'ISC indique que les versions suivantes de BIND sont affectées :
    • BIND 8
    • BIND 9


    L'ISC a publié :
    • Des versions "patchées" de BIND : 9.5.0-P1, 9.4.2-P1 et 9.3.5-P1.
    • Des versions "Beta" de BIND :
      • BIND 9.5.1b1
      • BIND 9.4.3b2


    Les versions "patchées" ont un fort impact sur les performances des serveurs BIND ayant des taux de requêtes supérieurs ou égaux à 10 000 par seconde. Les versions Beta permettent de réduire l'impact à un niveau non significatif.

     Le 04/08/2008, l'ISC a publié les versions 9.5.0-P2, 9.4.2-P2 et 9.3.5-P2 qui corrigent les problèmes de performance présents dans les versions P1 de BIND. 

    Se reporter à l'avis de sécurité de l'ISC (cité dans la section "Documentation additionnelle") pour plus d'information.

03 - Appliquer les correctifs de Microsoft pour la vulnérabilité DNS

    Referez-vous à l'avis CERT-IST/AV-2008.307 pour obtenir le détail des correctifs concernant les plates-formes Microsoft Windows.

04 - Appliquer les correctifs de CISCO pour la vulnérabilité DNS

    Cisco indique que les produits suivants sont vulnérables :
    • Cisco IOS Software
    • Cisco Network Registrar
    • Cisco Application and Content Networking System
    • Cisco Global Site Selector Used in Combination with Cisco Network Registrar


    Se reporter à l'avis de sécurité de CISCO (cité dans la section "Documentation additionnelle") pour obtenir le correctif approprié.

05 - Appliquer les correctifs de Linux Debian concernant la vulnérabilité DNS

    Linux Debian propose des correctifs pour Debian GNU/Linux 4.0 (Etch).

    Se reporter aux avis de sécurité de Linux Debian (cités dans la rubrique "Documentation additionnelle") pour connaître le package à mettre à jour en fonction de la plate-forme considérée.

06 - Appliquer les correctifs de Linux Ubuntu concernant la vulnérabilité DNS

    Linux Ubuntu propose des correctifs pour les distributions suivantes :
    • Linux Ubuntu 6.06 (Dapper Drake),
    • Linux Ubuntu 7.04 (Feisty),
    • Linux Ubuntu 7.10 (Gutsy),
    • Linux Ubuntu 8.04 LTS (Hardy).


    Se reporter à l'avis de sécurité de Linux Ubuntu (cité dans la rubrique "Documentation additionnelle") pour connaître le package à mettre à jour en fonction de la plate-forme considérée.

07 - Appliquer les correctifs de Sun concernant la vulnérabilité DNS





SparcIntel
Solaris 8109326-23109327-23
Solaris 9112837-15 114265-14
Solaris 10119783-06119784-06
OpenSolarissnv_95snv_95


08 - Appliquer les correctifs de Linux Fedora concernant la vulnérabilité DNS

    Linux RedHat a publié des correctifs pour les distributions suivantes :
    • Linux Fedora 8,
    • Linux Fedora 9.


    Se reporter aux avis de Linux Fedora cités dans la section "Documentation additionnelle" pour obtenir le détail de ces correctifs.

09 - Appliquer les correctifs de Linux Red Hat concernant la vulnérabilité DNS

    Linux Red Hat a publié des correctifs pour les distributions suivantes :
    • Red Hat Desktop (v. 3 et 4),
    • Red Hat Enterprise Linux AS (v. 2.1, 3 et 4),
    • Red Hat Enterprise Linux ES (v. 2.1, 3 et 4),
    • Red Hat Enterprise Linux WS (v. 2.1, 3 et 4),
    • Red Hat Enterprise Linux (v. 5 server),
    • Red Hat Enterprise Linux Desktop (v. 5 client),
    • Red Hat Enterprise Linux Desktop Workstation (v. 5 client).


    Se reporter à l'avis de Linux Red Hat cité dans la section "Documentation additionnelle" pour obtenir le détail de ces correctifs.

10 - Appliquer les correctifs de Juniper concernant la vulnérabilité DNS

Se reporter au bulletin de sécurité Juniper PSN-2008-06-040 (cité dans la section "Documentation additionnelle") pour obtenir le correctif approprié.
11 - Appliquer les correctifs de Linux Mandriva concernant la vulnérabilité DNS

    Linux Mandriva a publié des correctifs pour ses versions Corporate Server 3.0 et 4.0, Multi Network Firewall 2, 2007.1 et 2008.0.

    Se reporter à l'avis de Linux Mandriva cité dans la section "Documentation additionnelle" pour obtenir le détail de ces correctifs.

12 - Appliquer les correctifs de Linux Slackware concernant la vulnérabilité DNS

    Linux Slackware a publié des correctifs pour les versions 8.1, 9.0, 9.1, 10.0, 10.1, 10.2, 11.0, 12.0, 12.1 et "current".

    Se reporter aux avis de Linux Slackware cité dans la section "Documentation additionnelle" pour obtenir le détail de ces correctifs.

13 - Appliquer les correctifs de Linux SuSE concernant la vulnérabilité DNS

    Linux SUSE a publié des correctifs pour les distributions suivantes :
    • OpenSUSE versions 10.2, 10.3 et 11.0
    • SUSE Linux Enterprise SDK 10 SP1 et SP2
    • SUSE Linux Enterprise Server versions 9, 10 SP1 et 10 SP2.
    • SUSE Linux Enterprise Desktop 10 SP1 et SP2
    • Open Enterprise Server
    • Novell Linux Desktop 9
    • Novell Linux POS 9


    Se reporter aux avis de Linux SuSE cités dans la section "Documentation additionnelle" pour obtenir le détail de ces correctifs.

14 - Appliquer les correctifs de FreeBSD concernant la vulnérabilité DNS
15 - Appliquer les correctifs de Novell concernant la vulnérabilité DNS

    Des correctifs sont en cours d'léboration chez Novell.

16 - Appliquer les correctifs de HP concernant la vulnérabilité DNS

    • HP-UX B.11.11 avec BIND 8.1.2 : mettre à jour avec BIND 9.2.0 ou BIND 9.3.2 puis appliquer l'un des correctifs ci-dessous
    • HP-UX B.11.11 avec BIND 9.2.0 : BIND920v11.depot
    • HP-UX B.11.11 avec BIND 9.3.2 : Installer la revision C.9.3.2.3.0 ou une révision ultérieure
    • HP-UX B.11.23 avec BIND 9.2.0 : PHNE_37865
    • HP-UX B.11.23 avec BIND 9.3.2 : Installer la revision C.9.3.2.3.0 ou une révision ultérieure
    • HP-UX B.11.31 : Installer la revision C.9.3.2.3.0 ou une révision ultérieure


    HP fournit des ERP (Early Release Patch) pour HP Tru64 UNIX et pour OpenVMS:
    • HP Tru64 UNIX v 5.1B-4: installer le patch T64KIT1001520-V51BB27-ES-20080808 (HP Tru64 UNIX v 5.1B-4 PK6 (BL27) est requis). Le patch sera inclu dans le prochain kit HP Tru64 UNIX v 5.1B-5.
    • HP Tru64 UNIX 5.1B-3: installer le patch T64KIT1001522-V51BB26-ES-20080808 (HP Tru64 UNIX v 5.1B-3 PK5 (BL26) est requis). Le patch sera inclu dans le prochain kit HP Tru64 UNIX v 5.1B-5.
    • OpenVMS: Le patch sera inclu dans le prochain kit HP OpenVMS TCP/IP Services v 5.6 ECO 3
  • HP Alpha BIND Server Patch pour TCP/IP Services pour OpenVMS v 5.4 ECO 7, v 5.5 ECO 3, v 5.6 ECO 2

17 - Appliquer les correctifs d'IBM concernant la vulnérabilité DNS

    • APAR pour AIX 5.2 TL10 : IZ26667
    • APAR pour AIX 5.3 TL6 : IZ26668
    • APAR pour AIX 5.3 TL7 : IZ26669
    • APAR pour AIX 5.3 TL8 : IZ26670
    • APAR pour AIX 6.1 TL0 : IZ26671
    • APAR pour AIX 6.1 TL1 : IZ26672

18 - Appliquer les correctifs de F5 concernant la vulnérabilité DNS

    La vulnérabilité affecte les produits et versions suivantes :
    • 3-DNS versions 4.5 - 4.5.14, 4.6 - 4.6.1 et 4.6.2 - 4.6.4
    • BIG-IP versions 4.5 - 4.5.14, 4.6 - 4.6.1 et 4.6.2 - 4.6.4
    • BIG-IP LTM versions 9.3 - 9.3.1, 9.4 - 9.4.5 et 9.6 - 9.6.1
    • BIG-IP GTM versions 9.3 - 9.3.1 et 9.4 - 9.4.5
    • BIG-IP ASM versions 9.3 - 9.3.1 et 9.4 - 9.4.5
    • BIG-IP Link Controller versions 9.3 - 9.3.1 et 9.4 - 9.4.5
    • BIG-IP WebAccelerator versions 9.4 - 9.4.5
    • BIG-IP PSM version 9.4.5
    • BIG-IP SAM version 8.0
    • FirePass versions 5.5 - 5.5.2 et 6.0 - 6.0.2
    • Enterprise Manager versions 1.2 - 1.4.1 et 1.6
    • WANJet versions 5.0 - 5.0.2


    Cette vulnérabilité affecte uniquement les produits ayant activé la récursion DNS. Seul le module BIG-IP LTM MSM a été annoncé comme ayant configuré la récusion par défaut. F5 recommande de désactiver la récursion DNS.

    Se reporter à l'avis de F5 cité dans la section "Documentation additionnelle" pour plus de détail.

19 - Appliquer les correctifs de BlueCoat concernant la vulnérabilité DNS

    Les produits BlueCoat suivants sont affectés : ProxySG, Director, ProxyAV, ProxyRA, PacketShaper et iShaper.

    Concernant les produits BlueCoat suivis par le Cert-IST, l'éditeur indique :

    • ProxySG : Le champ "transaction ID" et le numéro de port source sont prédictibles. Les versions 4.2.8.7 et 5.2.4.3 de ProxySG corrigeront cette vulnérabilité.
    • ProxyAV : Utilise le DNS pour la résolution de noms uniquement pour les mises à jour. Le téléchargement de ces dernières est protégé par SSL, ce qui empêche les attaques basées sur les réponses DNS usurpées.

    Se reporter à l'avis de BlueCoat cité dans la section "Documentation additionnelle" pour plus de détail.

20 - Appliquer les correctifs d'OpenBSD concernant la vulnérabilité DNS
21 - Appliquer les correctifs de NetBSD concernant la vulnérabilité DNS

  • Branche NetBSD-current : versions du 10 juillet 2008
  • Branche NetBSD-4-0 : versions du 16 juillet 2008 (la version 4.0.1 inclut les correctifs)
  • Branche NetBSD-4 : versions du 16 juillet 2008 (la version 4.1 inclut les correctifs)
  • Branche NetBSD-3-1 : versions du 24 juillet 2008 (la version 3.1.2 inclut les correctifs)
  • Branche NetBSD-3-0 : versions du 24 juillet 2008 (la version 3.0.4 inclut les correctifs)
  • Branche NetBSD-3 : versions du 24 juillet 2008 (la version 3.2 inclut les correctifs)
  • pkgsrc: bind-9.4.2pl1 et bind-9.5.0pl1 corrigent la vulnérabilité.

22 - Appliquer les correctifs de Secure Computing pour CyberGuard concernant la vulnérabilité DNS

    Se reporter à l'article de la base de connaissance de Secure Computing KB 11446.

23 - Appliquer les correctifs d'Apple concernant la vulnérabilité DNS

    La vulnérabilité est corrigée dans la mise à jour de sécurité 2008-005 pour :
    • Mac OS X v10.4.11 (Client)
    • Mac OS X Server v10.4.11
    • Mac OS X v10.5 à v10.5.3 (Client)
    • Mac OS X Server v10.5 à v10.5.4

     Nota : Plusieurs sources (SANS, nCircle) signalent que, même après avoir appliqué les correctifs, les installations clientes sont toujours vulnérables (la randomisation de ports n'est pas implémentée sur ces installations). 

24 - Mettre à jour Arkoon UTM FAST360 avec la version 4.2/4 ou 4.0/13

Identifiant(s) du problème

Documentation additionnelle

Historique
Version Commentaire Date
4.5 Avis de sécurité de Linux SuSE SUSE-SR:2008:017 02 septembre 2008
4.4 Avis de Hewlett-Packard HPSBOV02357-SSRT080058 et HPSBTU02358-SSRT080058 14 août 2008
4.3 Correctifs pour Solaris 8 et 9 11 août 2008
4.2 Mise à jour de la solution HP pour BIND 8.1.2 07 août 2008
4.1 Avis de sécurité d'Arkoon (AK-2008-01) et problèmes sous les clients Mac OS X 05 août 2008
4.0 Nouvelles versions de BIND corrigeant les problèmes de performance 04 août 2008
3.8 Avis de sécurité de Linux Debian (DSA-1623-1) pour Dnsmasq 01 août 2008
3.7 Avis de sécurité d'Apple (HT2647) 01 août 2008
3.6 Alerte de Sun 240048 (solutions temporaires pour Solaris 8 et 9) et correctifs de Secure Computing pour CyberGuard 30 juillet 2008
3.5 Avis de sécurité de NetBSD (NetBSD-SA2008-009) 25 juillet 2008
3.4 Avis de sécurité pour BIND sous OpenBSD 4.2 et 4.3 25 juillet 2008
3.3 Avis de sécurité de Linux Debian (DSA-1617) pour SELinux 25 juillet 2008
3.2 Avis de sécurité de Linux Slackware (SSA:2008-205) 24 juillet 2008
3.1 Avis de sécurité de Linux Ubuntu (USN-627-1) 23 juillet 2008
3.0 Danger Potentiel CERT-IST/DG-2008.007; révision de la solution BIND (impact sur les performances) 22 juillet 2008
2.5 Solution HP pour BIND 9.2.0 21 juillet 2008
2.4 Avis de sécurité de BlueCoat 18 juillet 2008
2.3 Avis d'HP, IBM et F5 17 juillet 2008
2.2 Avis de sécurité de FreeBSD et Novell 15 juillet 2008
2.1 Avis de sécurité Linux SuSE (SUSE-SA:2008:033) 11 juillet 2008
2.0 Publications de nombreux correctifs constructeurs 10 juillet 2008
1.0 Création de l'avis 09 juillet 2008

Copyright © 1999-2010 Cert-IST | Mentions légales | Plan du site