Vulnérabilité de DNS : empoisonnement du cache

Synthèse de la vulnérabilité

Un attaquant peut prédire les requêtes DNS afin d'empoisonner le client ou le cache DNS (caching resolver).

Systèmes impactés : ProxyRA, ProxySG par Blue Coat, IOS par Cisco, Cisco Router, Debian, Dnsmasq, BIG-IP Hardware, TMOS, Fedora, FreeBSD, MPE/iX, Tru64 UNIX, HP-UX, AIX, BIND, Juniper E-Series, Juniper J-Series, JUNOSe, Junos OS, Mandriva Linux, Mandriva NF, Windows 2000, Windows 2003, Windows 2008 R0, Windows (plateforme) ~ non exhaustif, Windows XP, NetBSD, NetScreen Firewall, ScreenOS, NLD, Netware, OES, OpenBSD, OpenSolaris, openSUSE, Solaris, Trusted Solaris, DNS (protocole), RHEL, Slackware, SLES, TurboLinux, Unix (plateforme) ~ non exhaustif, ESX.

Gravité de cette alerte : 3/4.

Date de création : 09/07/2008.

Dates de révisions : 22/07/2008, 24/07/2008, 25/07/2008.

Références de cette alerte : 107064, 239392, 240048, 6702096, 7000912, 953230, BID-30131, c01506861, c01660723, CAU-EX-2008-0002, CAU-EX-2008-0003, CERTA-2002-AVI-189, CERTA-2002-AVI-200, cisco-sa-20080708-dns, CR102424, CR99135, CSCso81854, CVE-2008-1447, draft-ietf-dnsext-forgery-resilience-05, DSA-1544-2, DSA-1603-1, DSA-1604-1, DSA-1605-1, DSA-1617-1, DSA-1619-1, DSA-1619-2, DSA-1623-1, FEDORA-2008-6256, FEDORA-2008-6281, FEDORA-2009-1069, FreeBSD-SA-08:06.bind, HPSBMP02404, HPSBTU02358, HPSBUX02351, MDVSA-2008:139, MS08-037, NetBSD-SA2008-009, powerdns-advisory-2008-01, PSN-2008-06-040, RHSA-2008:0533-01, RHSA-2008:0789-01, SOL8938, SSA:2008-191-02, SSA:2008-205-01, SSRT080058, SSRT090014, SUSE-SA:2008:033, TA08-190B, TLSA-2008-26, VIGILANCE-VUL-7937, VMSA-2008-0014, VMSA-2008-0014.1, VMSA-2008-0014.2, VU#800113.

Description de la vulnérabilité

Le protocole DNS définit un identifiant de 16 bits permettant d'associer la réponse à la requête. Lorsqu'un attaquant prédit cet identifiant et le numéro de port UDP, il peut envoyer de fausses réponses et ainsi empoisonner le cache DNS.

La majorité des implémentations utilise un numéro de port fixe, ce qui augmente la probabilité de réussir un empoisonnement. Comme il n'y a qu'une seule chance de succès pendant la durée du TTL, et que cet empoisonnement ne réussit pas à chaque essai, cette attaque directe et connue de longue date est peu pratique.

Cependant, au lieu d'empoisonner l'enregistrement de réponse, l'attaquant peut empoisonner les enregistrements additionnels. En effet, lorsque le client DNS demande l'adresse de www.example.com, le serveur DNS retourne :
  www.example.com A 1.2.3.4 (réponse)
  example.com NS dns.example.com (autoritaire)
  dns.example.com A 1.2.3.5 (additionnel)

Un attaquant peut donc forcer le client à demander la résolution de nombreux noms (via une page web contenant des images par exemple) : aaa.example.com, aab.example.com, ..., aaz.example.com. Dans ses réponses, l'attaquant fournit alors toujours le même enregistrement additionnel illicite (www.example.com A 5.6.7.8). Même si, par exemple, seul aab.example.com est empoisonné, son enregistrement additionnel (www.example.com = 5.6.7.8) sera stocké dans le cache.

Un attaquant peut ainsi empoisonner le cache/client DNS et rediriger tous les utilisateurs vers un site illicite.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette alerte cyber-sécurité concerne les logiciels ou systèmes comme ProxyRA, ProxySG par Blue Coat, IOS par Cisco, Cisco Router, Debian, Dnsmasq, BIG-IP Hardware, TMOS, Fedora, FreeBSD, MPE/iX, Tru64 UNIX, HP-UX, AIX, BIND, Juniper E-Series, Juniper J-Series, JUNOSe, Junos OS, Mandriva Linux, Mandriva NF, Windows 2000, Windows 2003, Windows 2008 R0, Windows (plateforme) ~ non exhaustif, Windows XP, NetBSD, NetScreen Firewall, ScreenOS, NLD, Netware, OES, OpenBSD, OpenSolaris, openSUSE, Solaris, Trusted Solaris, DNS (protocole), RHEL, Slackware, SLES, TurboLinux, Unix (plateforme) ~ non exhaustif, ESX.

Notre équipe Vigil@nce a déterminé que la gravité de cette menace cybersécurité est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de serveur internet.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence débutant peut exploiter cette alerte de menace.

Solutions pour cette menace

DNS : contre-mesures.
Une contre-mesure consiste à utiliser DNSSEC, lorsque c'est possible.
D'autres contre-mesures sont indiquées l'annonce de l'US-CERT.

BIND : version 9.5.0-P1.
La version 9.5.0-P1 est corrigée :
  ftp://ftp.isc.org/isc/bind9/9.5.0-P1/bind-9.5.0-P1.tar.gz
  ftp://ftp.isc.org/isc/bind9/9.5.0-P1/bind-9.5.0-P1.tar.gz.asc
  ftp://ftp.isc.org/isc/bind9/9.5.0-P1/bind-9.5.0-P1.tar.gz.sha256.asc
  ftp://ftp.isc.org/isc/bind9/9.5.0-P1/bind-9.5.0-P1.tar.gz.sha512.asc
Cette version utilise des numéros de port variables, ce qui consomme plus de ressources. Il faut s'assurer que les firewalls ne restreignent pas les ports utilisés.
Le fichier de configuration ne doit pas contenir les options query-source ou query-source-v6.

BIND : version 9.4.3.
La version 9.4.3 est corrigée :
ftp://ftp.isc.org/isc/bind9/9.4.3/bind-9.4.3.tar.gz

BIND : version 9.4.2-P1.
La version 9.4.2-P1 est corrigée :
  ftp://ftp.isc.org/isc/bind9/9.4.2-P1/bind-9.4.2-P1.tar.gz
  ftp://ftp.isc.org/isc/bind9/9.4.2-P1/bind-9.4.2-P1.tar.gz.asc
  ftp://ftp.isc.org/isc/bind9/9.4.2-P1/bind-9.4.2-P1.tar.gz.sha256.asc
  ftp://ftp.isc.org/isc/bind9/9.4.2-P1/bind-9.4.2-P1.tar.gz.sha512.asc
Cette version utilise des numéros de port variables, ce qui consomme plus de ressources. Il faut s'assurer que les firewalls ne restreignent pas les ports utilisés.
Le fichier de configuration ne doit pas contenir les options query-source ou query-source-v6.

BIND : version 9.3.6.
La version 9.3.6 est corrigée :
ftp://ftp.isc.org/isc/bind9/9.3.6/bind-9.3.6.tar.gz

BIND : version 9.3.5-P1.
La version 9.3.5-P1 est corrigée :
  ftp://ftp.isc.org/isc/bind9/9.3.5-P1/bind-9.3.5-P1.tar.gz
  ftp://ftp.isc.org/isc/bind9/9.3.5-P1/bind-9.3.5-P1.tar.gz.asc
  ftp://ftp.isc.org/isc/bind9/9.3.5-P1/bind-9.3.5-P1.tar.gz.sha256.asc
  ftp://ftp.isc.org/isc/bind9/9.3.5-P1/bind-9.3.5-P1.tar.gz.sha512.asc
Cette version utilise des numéros de port variables, ce qui consomme plus de ressources. Il faut s'assurer que les firewalls ne restreignent pas les ports utilisés.
Le fichier de configuration ne doit pas contenir les options query-source ou query-source-v6.

Dnsmasq : version 2.43 (2.44).
La version 2.43 est corrigée :
http://www.thekelleys.org.uk/dnsmasq/
La version 2.44 corrige plusieurs bugs ajoutés dans la version 2.43.

PowerDNS : version 3.1.5 (3.1.6).
La version 3.1.5 est corrigée, mais la version 3.1.6 est encore plus sûre (VIGILANCE-VUL-7937) :
http://www.powerdns.com/

Blue Coat ProxyRA : version 2.3.2.1.
La version 2.3.2.1 est corrigée.

Blue Coat ProxySG : version 4.2.8.7, 5.2.4.3.
La version 4.2.8.7 ou 5.2.4.3 est corrigée .

Cisco IOS : version pour DNS.
Cisco IOS est vulnérable lorsque le serveur DNS est actif.
L'annonce de Cisco indique les versions corrigées.

Debian 4.0 : nouveaux paquetages pdns-recursor.
De nouveaux paquetages sont disponibles :
amd64 architecture (AMD x86_64 (AMD64))
  http://security.debian.org/pool/updates/main/p/pdns-recursor/pdns-recursor_3.1.4-1+etch2_amd64.deb
    Size/MD5 checksum: 418498 f5c48c3dfa05a888c38416b7c3b1e9ee
i386 architecture (Intel ia32)
  http://security.debian.org/pool/updates/main/p/pdns-recursor/pdns-recursor_3.1.4-1+etch2_i386.deb
    Size/MD5 checksum: 433786 33e5e4d147b1f7408dee93f014845e4b
ia64 architecture (Intel ia64)
  http://security.debian.org/pool/updates/main/p/pdns-recursor/pdns-recursor_3.1.4-1+etch2_ia64.deb
    Size/MD5 checksum: 598166 f1b98150ec6cb205eb10d5dcc69f1684

Debian : nouveaux paquetages bind9.
De nouveaux paquetages sont disponibles :
http://security.debian.org/pool/updates/main/b/bind9/bind9*_9.3.4-2etch3_*.deb
Les annonces contiennent des informations complémentaires.

Debian : nouveaux paquetages dnsmasq.
De nouveaux paquetages sont disponibles :
http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_*.deb

Debian : nouveaux paquetages python-dns.
De nouveaux paquetages sont disponibles :
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0-5.2+etch2_all.deb

Debian : nouveaux paquetages refpolicy.
De nouveaux paquetages sont disponibles :
http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy*_0.0.20061018-5.1+etch1_all.deb

F5 BIG-IP : contre-mesure pour BIND.
Une contre-mesure consiste à désactiver la récursivité.

Fedora 9 : nouveaux paquetages dnsmasq.
De nouveaux paquetages sont disponibles :
dnsmasq-2.45-1.fc9

Fedora : nouveaux paquetages bind.
De nouveaux paquetages sont disponibles :
bind-9.5.0-28.P1.fc8
bind-9.5.0-33.P1.fc9

FreeBSD : patch pour bind.
Un patch est disponible :
[FreeBSD 6.3]
# fetch http://security.FreeBSD.org/patches/SA-08:06/bind63.patch
# fetch http://security.FreeBSD.org/patches/SA-08:06/bind63.patch.asc
[FreeBSD 7.0]
# fetch http://security.FreeBSD.org/patches/SA-08:06/bind7.patch
# fetch http://security.FreeBSD.org/patches/SA-08:06/bind7.patch.asc
Le fichier de configuration ne doit pas contenir les options query-source ou query-source-v6.

HP Tru64 : patch pour dns.
Un patch est disponible :
HP Tru64 UNIX Version 5.1B-4 :
- Pré-requis : HP Tru64 UNIX 5.1B-4 PK6 (BL27)
- Patch: http://www.itrc.hp.com/service/patch/patchDetail.do?patchid=T64KIT1001520-V51BB27-ES-20080808

HP Tru64 UNIX Version 5.1B-3 :
- Pré-requis : HP Tru64 UNIX 5.1B-3 PK5 (BL26)
- Patch : http://www.itrc.hp.com/service/patch/patchDetail.do?patchid=T64KIT1001522-V51BB26-ES-20080808

HP-UX : BIND version C.9.3.2.3.0.
Pour BIND v9.3.2 :
  La version C.9.3.2.7.0 est corrigée (http://software.hp.com/).
Ensuite, enlever "query-source port" et "query-source-v6 port" du fichier /etc/named.conf.
Pour BIND v9.2.0 :
  HP-UX B.11.11 : revision B.11.11.01.015 (http://software.hp.com/).
  HP-UX B.11.23 : patch PHNE_37865 (http://itrc.hp.com/)
Ensuite, enlever "query-source port" et "query-source-v6 port" du fichier /etc/named.conf.

JUNOS : version du 23 mai 2008.
Les versions postérieures au 23 mai 2008 sont corrigées.

Mandriva : nouveaux paquetages bind.
De nouveaux paquetages sont disponibles :

Mandriva Linux 2007.1:
73cc24fc9586b7ab290d755012c16a79 2007.1/i586/bind-9.4.2-0.1mdv2007.1.i586.rpm
70867c50cfd64b4406aa002d627d740b 2007.1/i586/bind-devel-9.4.2-0.1mdv2007.1.i586.rpm
3603e9d9115466753397a1f472011703 2007.1/i586/bind-utils-9.4.2-0.1mdv2007.1.i586.rpm
cf5e4100ecb21a4eb603831e5a6ec23d 2007.1/SRPMS/bind-9.4.2-0.1mdv2007.1.src.rpm
Mandriva Linux 2007.1/X86_64:
4eb7ce0984d3ce3befff667392e3bf3e 2007.1/x86_64/bind-9.4.2-0.1mdv2007.1.x86_64.rpm
d7b9a9e7d4c52a5b0c54f59ca20bf2d5 2007.1/x86_64/bind-devel-9.4.2-0.1mdv2007.1.x86_64.rpm
c5c66c9609615029d2f07f7b09a63118 2007.1/x86_64/bind-utils-9.4.2-0.1mdv2007.1.x86_64.rpm
cf5e4100ecb21a4eb603831e5a6ec23d 2007.1/SRPMS/bind-9.4.2-0.1mdv2007.1.src.rpm
Mandriva Linux 2008.0:
52dfe3970fcd9495b2bb9379a9312b25 2008.0/i586/bind-9.4.2-1mdv2008.0.i586.rpm
97d20d35b6814aa2f9fab549ca6237c0 2008.0/i586/bind-devel-9.4.2-1mdv2008.0.i586.rpm
87a7bb3dd25abd8cd882a8f2fdc2398e 2008.0/i586/bind-utils-9.4.2-1mdv2008.0.i586.rpm
da4444a8074e6ede39dfa557fb258db7 2008.0/SRPMS/bind-9.4.2-1mdv2008.0.src.rpm
Mandriva Linux 2008.0/X86_64:
b9d0337363bc1e2b14505f25d4ee5f99 2008.0/x86_64/bind-9.4.2-1mdv2008.0.x86_64.rpm
9b75e2a96784c00c2912bc3bf333d089 2008.0/x86_64/bind-devel-9.4.2-1mdv2008.0.x86_64.rpm
0a593b090d9e6bda3666e234056e19ba 2008.0/x86_64/bind-utils-9.4.2-1mdv2008.0.x86_64.rpm
da4444a8074e6ede39dfa557fb258db7 2008.0/SRPMS/bind-9.4.2-1mdv2008.0.src.rpm
Mandriva Linux 2008.1:
2534ef007262d4ea2d219bab0190466c 2008.1/i586/bind-9.5.0-3mdv2008.1.i586.rpm
c3feee5d05aa3aee14cd70a2d295d0b1 2008.1/i586/bind-devel-9.5.0-3mdv2008.1.i586.rpm
f306c06665b723a2530258e6d1dbdae2 2008.1/i586/bind-doc-9.5.0-3mdv2008.1.i586.rpm
967ef80628f92160930bc3a3827a216e 2008.1/i586/bind-utils-9.5.0-3mdv2008.1.i586.rpm
70fc7a7964944a2926979710c5148ed1 2008.1/SRPMS/bind-9.5.0-3mdv2008.1.src.rpm
Mandriva Linux 2008.1/X86_64:
3f4d96d7a7f913c141e1f63cdc7e7336 2008.1/x86_64/bind-9.5.0-3mdv2008.1.x86_64.rpm
420db658366763686198f41394aa72b3 2008.1/x86_64/bind-devel-9.5.0-3mdv2008.1.x86_64.rpm
6f3674f68311494c5a9ff0dbce831e82 2008.1/x86_64/bind-doc-9.5.0-3mdv2008.1.x86_64.rpm
4294b3a086b89bf53c5c967c17962447 2008.1/x86_64/bind-utils-9.5.0-3mdv2008.1.x86_64.rpm
70fc7a7964944a2926979710c5148ed1 2008.1/SRPMS/bind-9.5.0-3mdv2008.1.src.rpm
Corporate 3.0:
de2a4372d1c25d73f343c9fcb044c9dd corporate/3.0/i586/bind-9.2.3-6.5.C30mdk.i586.rpm
1f24f6dbdb6c02e21cbbef99555049cb corporate/3.0/i586/bind-devel-9.2.3-6.5.C30mdk.i586.rpm
00405b98290d5a41f226081baa57e18d corporate/3.0/i586/bind-utils-9.2.3-6.5.C30mdk.i586.rpm
6a237dc290f4f7c463b1996e6a4a4515 corporate/3.0/SRPMS/bind-9.2.3-6.5.C30mdk.src.rpm
Corporate 3.0/X86_64:
628162f3d6a414828d2231fefc46842b corporate/3.0/x86_64/bind-9.2.3-6.5.C30mdk.x86_64.rpm
dd29ff31a9cffcc1b20fd045869d7013 corporate/3.0/x86_64/bind-devel-9.2.3-6.5.C30mdk.x86_64.rpm
c475c1a4d048e04da1fc27dcbb17c3f3 corporate/3.0/x86_64/bind-utils-9.2.3-6.5.C30mdk.x86_64.rpm
6a237dc290f4f7c463b1996e6a4a4515 corporate/3.0/SRPMS/bind-9.2.3-6.5.C30mdk.src.rpm
Corporate 4.0:
271ead204904be302d197cd542f5ae23 corporate/4.0/i586/bind-9.3.5-0.4.20060mlcs4.i586.rpm
42413dcc1cf053e735216f767eff4e5d corporate/4.0/i586/bind-devel-9.3.5-0.4.20060mlcs4.i586.rpm
0201afe493a41e1deedc9bf7e9725f4a corporate/4.0/i586/bind-utils-9.3.5-0.4.20060mlcs4.i586.rpm
86bc0cdc9ed1b959b6f56e0660268f2e corporate/4.0/SRPMS/bind-9.3.5-0.4.20060mlcs4.src.rpm
Corporate 4.0/X86_64:
b1a18a7d0578dab7bd825eda6c682b3d corporate/4.0/x86_64/bind-9.3.5-0.4.20060mlcs4.x86_64.rpm
6a2ebd550feb9147058de05b1a1ef04d corporate/4.0/x86_64/bind-devel-9.3.5-0.4.20060mlcs4.x86_64.rpm
670a1b934ce4974b8505018ab69ade0b corporate/4.0/x86_64/bind-utils-9.3.5-0.4.20060mlcs4.x86_64.rpm
86bc0cdc9ed1b959b6f56e0660268f2e corporate/4.0/SRPMS/bind-9.3.5-0.4.20060mlcs4.src.rpm
Multi Network Firewall 2.0:
5b694c24cc2092e38f531dbfdd5c9d41 mnf/2.0/i586/bind-9.2.3-6.5.C30mdk.i586.rpm
c08bc805027059c47bed32215f17eacb mnf/2.0/i586/bind-utils-9.2.3-6.5.C30mdk.i586.rpm
39225289516498e1b071c5059306f2b9 mnf/2.0/SRPMS/bind-9.2.3-6.5.C30mdk.src.rpm

MPE/iX : contre-mesure pour BIND/iX.
Une contre-mesure consiste à installer un autre serveur DNS.

NetBSD : patches pour bind.
Des patches sont disponibles, et indiqués dans l'annonce NetBSD.

NetWare : named.nlm corrigé.
La version du 25/07/2008 de named.nlm est corrigée.

OpenBSD : patch pour BIND.
Un patch est disponible :
ftp://ftp.openbsd.org/pub/OpenBSD/patches/4.3/common/004_bind.patch
ftp://ftp.openbsd.org/pub/OpenBSD/patches/4.2/common/013_bind.patch

RHEL : nouveaux paquetages bind.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux 2.1 : bind-9.2.1-10.el2
Red Hat Enterprise Linux 3: bind-9.2.4-22.el3
Red Hat Enterprise Linux 4: bind-9.2.4-28.0.1.el4
Red Hat Enterprise Linux 5: bind-9.3.4-6.0.1.P1.el5_2

RHEL : nouveaux paquetages dnsmasq.
La version est corrigée :
Red Hat Enterprise Linux: dnsmasq*-2.45-1.el5_2.1.*.rpm

ScreenOS : version 5.4r10, 6.0r5a, 6.1R2.
Les versions 5.4r10, 6.0r5a et 6.1R2 sont corrigées :
http://www.juniper.net/

Slackware : nouveaux paquetages dnsmasq.
De nouveaux paquetages sont disponibles :
Slackware 10.0:
ftp://ftp.slackware.com/pub/slackware/slackware-10.0/patches/packages/dnsmasq-2.45-i486-1_slack10.0.tgz
Slackware 10.1:
ftp://ftp.slackware.com/pub/slackware/slackware-10.1/patches/packages/dnsmasq-2.45-i486-1_slack10.1.tgz
Slackware 10.2:
ftp://ftp.slackware.com/pub/slackware/slackware-10.2/patches/packages/dnsmasq-2.45-i486-1_slack10.2.tgz
Slackware 11.0:
ftp://ftp.slackware.com/pub/slackware/slackware-11.0/patches/packages/dnsmasq-2.45-i486-1_slack11.0.tgz
Slackware 12.0:
ftp://ftp.slackware.com/pub/slackware/slackware-12.0/patches/packages/dnsmasq-2.45-i486-1_slack12.0.tgz
Slackware 12.1:
ftp://ftp.slackware.com/pub/slackware/slackware-12.1/patches/packages/dnsmasq-2.45-i486-1_slack12.1.tgz

Solaris : patch pour DNS.
Un patch est disponible :
  SPARC Platform
    * Solaris 8 IDR138951-01
    * Solaris 9 IDR138950-02
    * Solaris 10 : patch 119783-06
  x86 Platform
    * Solaris 8 IDR138959-01
    * Solaris 9 IDR138958-02
    * Solaris 10 : patch 119784-06

Turbolinux : nouveaux paquetages bind.
De nouveaux paquetages sont disponibles :
Turbolinux Appliance Server 3.0 : bind-9.4.2-1
Turbolinux 11 Server : bind-9.4.2-1
Turbolinux Appliance Server 2.0 : bind-9.2.3-16
Turbolinux 10 Server : bind-9.2.3-16
Turbolinux Appliance Server 1.0 : bind-9.2.1-9

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des alertes de vulnérabilité de système. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.