28 janvier 2023Ravie LakshmananSécurité du serveur / DNS

Vulnérabilités Du Logiciel Bind Dns

L’Internet Systems Consortium (ISC) a publié des correctifs pour résoudre plusieurs vulnérabilités de sécurité dans la suite logicielle du système de noms de domaine (DNS) Berkeley Internet Name Domain (BIND) 9 qui pourraient conduire à une condition de déni de service (DoS).

« Un attaquant distant pourrait exploiter ces vulnérabilités pour potentiellement provoquer des conditions de déni de service et des défaillances du système », a déclaré la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis. m’a dit dans un avis publié vendredi.

Le logiciel open source est utilisé par les principales sociétés financières, les opérateurs nationaux et internationaux, les fournisseurs de services Internet (FAI), les détaillants, les fabricants, les établissements d’enseignement et les entités gouvernementales, selon son site Internet.

Les quatre défauts résident dans nomméun Service BIND9 qui fonctionne comme un serveur de noms faisant autorité pour un ensemble fixe de zones DNS ou comme un résolveur récursif pour les clients sur un réseau local.

Publicité

La liste des bogues, qui sont notés 7,5 sur le système de notation CVSS, est la suivante –

  • CVE-2022-3094 – Une inondation de messages UPDATE peut amener named à épuiser toute la mémoire disponible
  • CVE-2022-3488 – BIND Supported Preview Edition nommé peut se terminer de manière inattendue lors du traitement des options ECS dans des réponses répétées à des requêtes itératives
  • CVE-2022-3736 – nommé configuré pour répondre à partir du cache obsolète peut se terminer de manière inattendue lors du traitement des requêtes RRSIG
  • CVE-2022-3924 – nommé configuré pour répondre à partir du cache obsolète peut se terminer de manière inattendue au quota logiciel des clients récursifs

L’exploitation réussie des vulnérabilités pourrait entraîner le blocage du service nommé ou l’épuisement de la mémoire disponible sur un serveur cible.

Les problèmes affectent les versions 9.16.0 à 9.16.36, 9.18.0 à 9.18.10, 9.19.0 à 9.19.8 et 9.16.8-S1 à 9.16.36-S1. CVE-2022-3488 affecte également les versions 9.11.4-S1 à 9.11.37-S1 de BIND Supported Preview Edition. Ils ont été résolus dans les versions 9.16.37, 9.18.11, 9.19.9 et 9.16.37-S1.

Bien qu’il n’y ait aucune preuve que l’une de ces vulnérabilités soit activement exploitée, il est recommandé aux utilisateurs de mettre à niveau vers la dernière version dès que possible pour atténuer les menaces potentielles.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentLa zone panoramique de Lushan en Chine annonce l’entrée gratuite pour tous
Article suivantMario Cristobal attire les recrues du comté de Palm Beach avec une visite en hélicoptère
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici