Orange Business Services
Vigil@nce Vigil@nce Vigil@nce
nous veillons pour votre sécurité depuis 1999
 accueil présentation vulnérabilités documentation contact  
espace abonné espace abonné
accès gratuit accès gratuit
Vigil@nce décrit les vulnérabilités informatiques qui affectent vos systèmes, et propose les solutions pour y remédier.
vulnérabilités récentes vulnérabilités récentes
produits suivis produits suivis
fil RSS fil RSS
vulnérabilité

avis de vulnérabilité CVE-2010-0213

BIND : boucle infinie via RRSIG

Synthèse de la vulnérabilité

Un attaquant peut envoyer une requête pour un RRSIG, afin de forcer BIND à émettre indéfiniment des requêtes vers les serveurs DNS autoritaires.
Gravité : 2/4.
Date création : 16/07/2010.

Description de la vulnérabilité

Le protocole DNSSEC définit le type RRSIG qui contient la signature des Resource Records situés dans les sections Answer et Authority. Il y a autant de RRSIG qu'il y a de triplets {nom,type,classe} signés dans la réponse DNS.

Normalement, lorsqu'une requête DNS demande un RR, la réponse contient ce RR et son RRSIG. Cependant, un attaquant peut directement demander le RRSIG, ce qui provoque une boucle infinie dans la situation suivante :
 - l'attaquant interroge un serveur DNS récursif, et
 - le serveur DNS possède des Trust Anchors (DLV - DNSSEC Lookaside Validation), et
 - le RRSIG demandé n'est pas déjà dans le cache du serveur DNS.
Dans ce cas, le serveur DNS émet indéfiniment des requêtes vers les serveurs DNS autoritaires pour la zone du RRSIG.

Un attaquant peut donc envoyer une requête pour un RRSIG, afin de forcer BIND à émettre indéfiniment des requêtes vers les serveurs DNS autoritaires.

Bulletin Vigil@nce complet

Accès au bulletin Vigil@nce complet

Caractéristiques

Titre : BIND : boucle infinie via RRSIG.
Mots clés : Anchors Answer Authority BIND DLV DNS DNSSEC Lookaside RRSIG Records Resource Trust Validation boucle infinie.
Références : BID-41730, CVE-2010-0213, FEDORA-2010-11344, VIGILANCE-VUL-9769, VU#211905.

Sources d'information

Publications et annonces

Solutions pour cette vulnérabilité

Patch correctif ou contre-mesure

Service de veille sur les vulnérabilités informatiques

Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Bulletins de failles informatiques



















France Télécom Copyright 1999-2010 Vigil@nce. Vigil@nce est proposé par Orange Business Services. Plan du site. Mention légale. English version