L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Empoisonnement du cache DNSd

Synthèse de la vulnérabilité 

Un attaquant disposant d'un serveur DNS peut empoisonner le cache DNS des firewalls Symantec.
Systèmes vulnérables : SEF, SGS.
Gravité de cette menace : 3/4.
Date de création : 29/06/2004.
Références de cette faille : 2004.06.21, BID-10557, V6-SEFDNSAUTHPOISON, VIGILANCE-VUL-4250.

Description de la vulnérabilité 

Les firewalls Symantec disposent d'un proxy DNS nommé DNSd.

Les données employées par le protocole DNS ont la structure suivante :
 - un entête
 - un ou plusieurs RR (Resource Record)
Il existe 4 types de RR:
 - question : contient l'information demandée (dans le cas d'une requête) ou l'information pour laquelle une réponse est faite
 - answer : réponse à la question
 - authoritative : serveur DNS autoritaire pour la réponse
 - additional : informations additionnelles, comme l'adresse IP du serveur DNS autoritaire

Par exemple, une réponse à la question "qu'elle est l'adresse de www.s.com" est de la forme :
 - entête
 - RR question : www.s.com A
 - RR answer : www.s.com A 1.1.1.1
 - RR authoritative : www.s.com NS ns.s.com
 - RR additional : ns.s.com A 1.1.1.2
Cet exemple indique que la machine ns.s.com est autoritaire pour répondre à une question concernant www.s.com.

L'exemple suivant est invalide :
 - entête
 - RR question : www.s.com A
 - RR answer : www.s.com A 1.1.1.1
 - RR authoritative : com NS ns.s.com
 - RR additional : ns.s.com A 1.1.1.2
En effet, le serveur DNS répond à la question concernant www.s.com, mais indique aussi qu'il est autoritaire pour la zone ".com".

Cependant, le proxy DNSd ne rejette pas ce type de réponse. Dans ce cas, il interrogera le serveur ns.s.com lors de ses prochaines requêtes concernant la zone ".com".

Un attaquant disposant d'un serveur DNS peut donc fournir des réponses illicites afin de corrompre le cache du firewall.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cet avis de faille informatique concerne les logiciels ou systèmes comme SEF, SGS.

Notre équipe Vigil@nce a déterminé que la gravité de cette annonce de faille informatique est important.

Le niveau de confiance est de type source unique, avec une provenance de serveur internet.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cet avis cyber-sécurité.

Solutions pour cette menace 

Solution pour Empoisonnement du cache DNSd.
Des hotfix sont disponibles :
  http://www.symantec.com/techsupp/
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une veille et alerte de vulnérabilités informatiques. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.