L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

alerte de faille informatique CVE-2015-5477

BIND : déni de service via TKEY

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur d'assertion avec une requête TKEY vers BIND (autoritaire ou récursif), afin de mener un déni de service.
Gravité de cette faille : 3/4.
Date création : 29/07/2015.
Dates révisions : 29/07/2015, 03/08/2015.
Références de ce bulletin : AA-01272, bulletinjul2015, c04769567, c04800156, c04891218, CERTFR-2015-AVI-322, CERTFR-2016-AVI-020, CVE-2015-5477, DSA-3319-1, FEDORA-2015-12316, FEDORA-2015-12335, FEDORA-2015-12357, FreeBSD-SA-15:17.bind, HPSBUX03400, HPSBUX03511, HPSBUX03522, JSA10718, openSUSE-SU-2015:1326-1, openSUSE-SU-2015:1335-1, RHSA-2015:1513-01, RHSA-2015:1514-01, RHSA-2015:1515-01, RHSA-2016:0078-01, RHSA-2016:0079-01, SOL16909, SSA:2015-209-01, SSRT102211, SSRT102248, SSRT102942, SUSE-SU-2015:1304-1, SUSE-SU-2015:1305-1, SUSE-SU-2015:1316-1, SUSE-SU-2015:1322-1, SUSE-SU-2016:0227-1, USN-2693-1, VIGILANCE-VUL-17520.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

L'enregistrement TKEY (Transaction KEY) permet de transmettre des informations concernant les clés partagées (RFC 2930).

Cet enregistrement TKEY est normalement situé dans la section DNS Additional, et BIND le cherche avec la fonction dns_message_findname(). Si BIND ne l'y trouve pas, il le cherche dans la section DNS Answer.

Cependant, BIND ne réinitialise pas la variable stockant le nom avant le deuxième appel à dns_message_findname(). Lorsque BIND reçoit un message TKEY malformé, une erreur d'assertion REQUIRE() se produit alors dans message.c car les développeurs ne s'attendaient pas à ce cas, ce qui stoppe le processus.

Un attaquant peut donc provoquer une erreur d'assertion avec une requête TKEY vers BIND (autoritaire ou récursif), afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

Cette alerte de vulnérabilité informatique concerne les logiciels ou systèmes comme Clearswift Email Gateway, Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, HP-UX, AIX, BIND, Juniper J-Series, Junos OS, openSUSE, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte de faille est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence débutant peut exploiter cette alerte sécurité.

Solutions pour cette menace

BIND : version 9.10.2-P3.
La version 9.10.2-P3 est corrigée :
  http://www.isc.org/downloads
  ftp://ftp.isc.org/isc/bind9/

BIND : version 9.9.7-P2.
La version 9.9.7-P2 est corrigée :
  http://www.isc.org/downloads
  ftp://ftp.isc.org/isc/bind9/

AIX : patch pour Bind.
Un patch est disponible :
  ftp://aix.software.ibm.com/aix/efixes/security/bind9_fix8.tar

Clearswift SECURE Email Gateway : version 3.8.8.
La version 3.8.8 est corrigée :
  http://web2.clearswift.com/support/msw/forums/topic.asp?TOPIC_ID=24581

Debian : nouveaux paquetages bind9.
De nouveaux paquetages sont disponibles :
  Debian 7 : bind9 1:9.8.4.dfsg.P1-6+nmu2+deb7u6
  Debian 8 : bind9 1:9.9.5.dfsg-9+deb8u2

F5 BIG-IP : solution pour BIND.
La solution est indiquée dans les sources d'information.

Fedora : nouveaux paquetages bind.
De nouveaux paquetages sont disponibles :
  Fedora 21 : bind 9.9.6-10.P1.fc21
  Fedora 22 : bind 9.10.2-4.P3.fc22, bind99 9.9.7-6.P2.fc22

FreeBSD : patch pour BIND.
Un patch est disponible :
  https://security.FreeBSD.org/patches/SA-15:17/bind.patch

HP-UX : BIND version C.9.3.2.14.0.
La version C.9.3.2.14.0 est corrigée :
  https://h20392.www2.hp.com/portal/swdepot/displayProductInfo.do?productNumber=BIND

HP-UX : versions corrigées de BIND.
Les versions suivantes sont corrigées :
  https://h20392.www2.hp.com/portal/swdepot/displayProductInfo.do?productNumber=BIND
  11.23 :
    DNSUPGRADE_C.9.3.2.15.0_HP-UX_B.11.23_IA_PA.depot
  11.31 :
    HP_UX_11.31_HPUX-NameServer_C.9.7.3.8.0_HP-UX_B.11.31_IA_PA.depot
    HP_UX_11.31_HPUX-NameServer_C.9.9.4.5.0_HP-UX_B.11.31_IA_PA.depot

Junos : versions corrigées pour ISC BIND.
Les versions corrigées sont indiquées dans les sources d'information.

openSUSE 11.4 : nouveaux paquetages bind.
De nouveaux paquetages sont disponibles :
  openSUSE 11.4 : bind 9.9.4P2-66.1

openSUSE : nouveaux paquetages bind.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : bind 9.9.4P2-2.14.1
  openSUSE 13.2 : bind 9.9.6P1-2.7.1

RHEL 5 : nouveaux paquetages bind.
De nouveaux paquetages sont disponibles :
  RHEL 5 : bind 9.3.6-25.P1.el5_11.3, bind97 9.7.0-21.P2.el5_11.2
  RHEL 6 : bind 9.8.2-0.37.rc1.el6_7.2
  RHEL 7 : bind 9.9.4-18.el7_1.3

RHEL 6.4, 6.5 : nouveaux paquetages bind.
De nouveaux paquetages sont disponibles :
  RHEL 6.4 : bind 9.8.2-0.17.rc1.el6_4.7
  RHEL 6.5 : bind 9.8.2-0.23.rc1.el6_5.2

RHEL 6.6 : nouveaux paquetages bind.
De nouveaux paquetages sont disponibles :
  RHEL 6 : bind 9.8.2-0.30.rc1.el6_6.4

Slackware : nouveaux paquetages bind.
De nouveaux paquetages sont disponibles :
  Slackware 13.0 : bind 9.9.7_P2-*-1_slack13.0
  Slackware 13.1 : bind 9.9.7_P2-*-1_slack13.1
  Slackware 13.37 : bind 9.9.7_P2-*-1_slack13.37
  Slackware 14.0 : bind 9.9.7_P2-*-1_slack14.0
  Slackware 14.1 : bind 9.9.7_P2-*-1_slack14.1

Solaris : patch pour Third Party (07/2015).
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

SUSE LE 10 : nouveaux paquetages bind.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 SP4 : bind 9.6ESVR11P1-0.18.1

SUSE LE : nouveaux paquetages bind.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 : bind 9.6ESVR11P1-0.14.1
  SUSE LE 11 : bind 9.9.6P1-0.12.1
  SUSE LE 12 : bind 9.9.6P1-23.1

Ubuntu : nouveaux paquetages bind9.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.04 : bind9 1:9.9.5.dfsg-9ubuntu0.2
  Ubuntu 14.04 LTS : bind9 1:9.9.5.dfsg-3ubuntu0.4
  Ubuntu 12.04 LTS : bind9 1:9.8.1.dfsg.P1-4ubuntu0.12
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une veille de vulnérabilité applicative. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.