Détails:
Une vulnérabilité a été identifiée dans BIND, celle-ci pourrait exploitée par des personnes malintentionnées afin d'usurper les réponses de zones.

La vulnérabilité est due à certaines fonctions de BIND qui ne vérifient pas correctement la valeur de retour des fonctions "EVP_VerifyFinal()" et "DSA_do_verify()" lors de la validation de la signature de clés DSA et NSEC3DSA. Cela pourrait par exemple être exploité afin d'envoyer des réponses usurpées de zones en utilisant des clés DSA et NSEC3DSA.

Pour que l'exploitation soit réalisable, la zone doit utiliser des algorithmes DSA ou NSEC3DSA.

Les versions suivantes sont affectées:
* BIND 9.0 (toutes les versions)
* BIND 9.1 (toutes les versions)
* BIND 9.2 (toutes les versions)
* BIND 9.3.0, 9.3.1, 9.3.2, 9.3.3, 9.3.4, 9.3.5, 9.3.6
* BIND 9.4.0, 9.4.1, 9.4.2, 9.4.3
* BIND 9.5.0, 9.5.1
* BIND 9.6.0

Solution:
Mettre à jour aux versions 9.3.6-P1, 9.4.3-P1, 9.5.1-P1, ou 9.6.0-P1.

Ou désactiver les algorithmes affectés (voir l'avis d'ISC).

Références:
http://secunia.com/advisories/33404/
http://www.ocert.org/advisories/ocert-2008-016.html
https://www.isc.org/node/373 Avis original

Crédits:
Vulnérabilité découverte à l'origine dans OpenSSL par Google Security Team, puis identifiée dans BIND par Florian Weimer.

  En parler sur le forum...
  S'inscrire à la liste de diffusion...