Les vulnérabilités de bind

Le CERT/CC a rappelé dans son avis (CERT/CC-CA 2000-03) que de nombreuses compromissions de machines par une vulnérabilité du serveur de noms (DNS) BIND lui ont été rapportées.

Le CERT-IST avait déjà prévenu sa communauté au mois de février 2000 (Cf ; alerte CERT-IST/AL-2000.002 : Augmentation des compromissions du logiciel BIND 8.2 - 14/02/2000). Nous vous rappelons l'importance de mettre à jour votre version de BIND pour protéger au mieux vos machines.

De plus, dans la plupart des compromissions, les machines attaquées n’étaient pas utilisées comme serveur de nom, mais avaient le démon named de BIND actif.

Voici quelques indices supplémentaires vous permettant de savoir si votre machine a été compromise par cette vulnérabilité :

• présence des répertoire /var/named/ADMROCKS et /var/named/O
• le démon inetd est démarré avec un fichier de configuration se trouvant dans le répertoire /tmp (faire ps axw | grep inetd ou ps aef | grep inetd suivant les systèmes pour vérifier que le démon inetd n’est pas lancé avec un fichier de configuration spécifique)
• le fichier /etc/inittab et/ou les fichiers de démarrage du système (/etc/rc.*) sont modifiés
• présence de versions corrompues du démon ssh et de la commande " login "
• nouvelle version de BIND
• ...

Une étude a également montré que la moitié des serveurs DNS délégués(*) du domaine in-addr.arpa - serveurs utilisés pour les résolutions d’adresse inverse (nom de domaine à partir de l’adresse IP) – interrogés sont configurés avec une version vulnérable de BIND.

(*) Serveur délégué : serveur DNS responsable d’une partie de la hiérarchie des noms de domaines.

L’avis du CERT/CC est disponible à l’adresse suivante : http://www.cert.org/advisories/CA-2000-03.html