L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Protocole DNS

vulnérabilité CVE-2015-2809

mDNS : obtention d'information et DDos

Synthèse de la vulnérabilité

Un attaquant peut interroger le service mDNS, afin d'obtenir des informations sensibles sur le réseau, ou d'amplifier une attaque par déni de service.
Produits concernés : Avahi, DNS (protocole), Synology DSM.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service.
Provenance : client internet.
Date création : 01/04/2015.
Références : CVE-2015-2809, VIGILANCE-VUL-16510, VU#550620.

Description de la vulnérabilité

Le protocole mDNS (Multicast DNS) permet aux ordinateurs du réseau local de découvrir les services disponibles sur leur réseau.

Cependant, certaines implémentations de mDNS acceptent de répondre aux requêtes Unicast venant de l'extérieur de leur réseau.

Un attaquant peut donc interroger le service mDNS, afin d'obtenir des informations sensibles sur le réseau, ou d'amplifier une attaque par déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique 14318

DNS, Windows 2008 DNS : déni de service distribué via Root Hints

Synthèse de la vulnérabilité

Un attaquant peut employer le service DNS de Windows 2008 (au tout autre service retournant les Root Hints), afin de mener un déni de service distribué.
Produits concernés : Windows 2008 R0, Windows 2008 R2, DNS (protocole).
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Date création : 26/02/2014.
Références : VIGILANCE-VUL-14318.

Description de la vulnérabilité

Un service DNS peut être configuré pour être autoritaire pour un domaine.

Lorsqu'un client interroge un service DNS non récursif au sujet d'un domaine pour lequel il n'est pas autoritaire, la RFC 1034 suggère que le serveur retourne au client la liste des serveurs DNS racine ("root hints"). Cependant, ce comportement peut être utilisé comme amplification, car la taille de la réponse Root Hints est supérieure à la taille de la requête DNS.

Le serveur DNS ISC Bind a donc choisi de ne pas retourner les Root Hints. Cependant, le service DNS de Windows retourne les Root Hints.

Un attaquant peut donc employer le service DNS de Windows 2008 (au tout autre service retournant les Root Hints), afin de mener un déni de service distribué.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2012-1033 CVE-2012-1191 CVE-2012-1192

DNS, ISC BIND : non-expiration de nom révoqué

Synthèse de la vulnérabilité

Lorsqu'un nom de domaine a été révoqué, un attaquant peut périodiquement interroger un serveur DNS récursif, afin de continuellement renouveler les données en cache, qui n'expirent alors jamais.
Produits concernés : BIG-IP Hardware, TMOS, Fedora, HP-UX, BIND, McAfee Email and Web Security, Windows 2008 R0, openSUSE, DNS (protocole), RHEL, Slackware, Unix (plateforme) ~ non exhaustif, ESX.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : serveur internet.
Nombre de vulnérabilités dans ce bulletin : 6.
Date création : 08/02/2012.
Date révision : 09/02/2012.
Références : BID-51898, BID-52558, c03577598, CERTA-2012-AVI-663, CVE-2012-1033, CVE-2012-1191, CVE-2012-1192, CVE-2012-1193, CVE-2012-1194, CVE-2012-1570, ESX410-201211001, ESX410-201211401-SG, ESX410-201211402-SG, ESX410-201211405-SG, ESX410-201211407-SG, FEDORA-2013-1176, FEDORA-2013-1204, FEDORA-2013-1301, FEDORA-2013-6279, FEDORA-2013-6316, openSUSE-SU-2012:0863-1, openSUSE-SU-2012:0864-1, RHSA-2012:0716-01, RHSA-2012:0717-01, SOL15481, SSA:2012-166-01, VIGILANCE-VUL-11344, VMSA-2012-0016, VU#542123.

Description de la vulnérabilité

Un serveur DNS récursif garde en cache les réponses précédentes. Par exemple, si un utilisateur demande "www.phishing.com" :
 - son serveur DNS demande à un serveur autoritaire pour ".com" : qui est le serveur DNS de "phishing.com" ?
 - il reçoit la réponse "ns.phishing.com" avec l'adresse IP 10.0.0.1, et un TTL (durée d'expiration) d'une journée
 - il garde cette information en cache
 - il demande à 10.0.0.1 : quelle est l'adresse de "www.phishing.com" ?
 - il reçoit la réponse, et la garde en cache, puis l'indique à l'utilisateur
Lorsqu'un autre utilisateur demande "www.phishing.com", la valeur mise en cache durant une journée est simplement retournée.

Si une autorité décide de désactiver "phishing.com", la valeur en cache est encore utilisée une journée. Passé cette date, le serveur DNS interrogera un serveur autoritaire pour ".com", qui lui indiquera que le domaine n'existe plus.

Cependant, un attaquant peut faire en sorte que le domaine "phishing.com" n'expire jamais du cache du serveur DNS. Pour cela, avant l'expiration du TTL, l'attaquant doit :
 - ajouter dans son serveur DNS (ns.phishing.com) une résolution inverse pour 10.0.0.1, indiquant par exemple "ns1.phishing.com", qui est aussi un serveur DNS autoritaire pour "phishing.com"
 - demander au serveur DNS récursif de la victime la résolution inverse pour 10.0.0.1 (la réponse sera ns1.phishing.com), qui sera gardée en cache comme étant le nouveau serveur DNS de "phishing.com", avec un TTL d'une journée
Le domaine "phishing.com" est alors valide une journée de plus.

Lorsqu'un nom de domaine a été révoqué, un attaquant peut donc périodiquement interroger un serveur DNS récursif, afin de continuellement renouveler les données en cache, qui n'expirent donc jamais.

Cette vulnérabilité est due à une erreur de conception du protocole DNS.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2010-4448 CVE-2011-3552

Windows, Java : empoisonnement du cache DNS

Synthèse de la vulnérabilité

Un attaquant peut ouvrir de nombreux ports UDP, afin de faciliter l'empoisonnement du cache DNS.
Produits concernés : HP-UX, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 7, Windows (plateforme) ~ non exhaustif, Windows Vista, Windows XP, Java OpenJDK, Java Oracle, DNS (protocole), RHEL, Unix (plateforme) ~ non exhaustif.
Gravité : 1/4.
Conséquences : création/modification de données, transit de données.
Provenance : serveur internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 20/10/2011.
Références : BID-50281, c03266681, CVE-2010-4448, CVE-2011-3552, HPSBUX02760, javacpuoct2011, RHSA-2012:0006-01, RHSA-2013:1455-01, RHSA-2013:1456-01, SSRT100805, VIGILANCE-VUL-11087.

Description de la vulnérabilité

Le protocole DNS permet d'obtenir l'adresse IP associée à un nom de machine :
 - le client envoie une requête provenant d'un port UDP source de 16 bits, et contenant un identifiant TXID sur 16 bits
 - le serveur répond au port UDP source, avec le TXID reçu dans la requête
Un attaquant qui usurpe un paquet DNS de réponse doit donc deviner 32 bits, afin d'empoisonner le cache DNS du client.

Cependant, si un attaquant exécute un programme illicite sur le client qui ouvre la majorité des ports UDP, le résolveur DNS utilise alors les ports restants libres. L'attaquant n'a donc plus que les 16 bits du TXID à deviner.

Ce programme illicite peut être exécuté par un attaquant local non privilégié (sur une machine Windows partagée entre plusieurs utilisateurs). Ce programme illicite peut aussi être une applet Java située sur un site web visité par la victime.

Sous Windows, l'attaquant local est autorisé à vider le cache DNS entre chaque tentative. Il peut alors recommencer autant de fois que nécessaire jusqu'à deviner le TXID.

Un attaquant peut donc ouvrir de nombreux ports UDP, afin de faciliter l'empoisonnement du cache DNS.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2008-1447

DNS : empoisonnement du cache

Synthèse de la vulnérabilité

Un attaquant peut prédire les requêtes DNS afin d'empoisonner le client ou le cache DNS (caching resolver).
Produits concernés : ProxyRA, ProxySG par Blue Coat, IOS par Cisco, Cisco Router, Debian, Dnsmasq, BIG-IP Hardware, TMOS, Fedora, FreeBSD, MPE/iX, Tru64 UNIX, HP-UX, AIX, BIND, Juniper E-Series, Juniper J-Series, JUNOSe, Junos OS, Mandriva Corporate, Mandriva Linux, Mandriva NF, Windows 2000, Windows 2003, Windows 2008 R0, Windows (plateforme) ~ non exhaustif, Windows XP, NetBSD, NetScreen Firewall, ScreenOS, NLD, Netware, OES, OpenBSD, OpenSolaris, openSUSE, Solaris, Trusted Solaris, DNS (protocole), RHEL, Slackware, SLES, TurboLinux, Unix (plateforme) ~ non exhaustif, ESX.
Gravité : 3/4.
Conséquences : création/modification de données.
Provenance : serveur internet.
Date création : 09/07/2008.
Dates révisions : 22/07/2008, 24/07/2008, 25/07/2008.
Références : 107064, 239392, 240048, 6702096, 7000912, 953230, BID-30131, c01506861, c01660723, CAU-EX-2008-0002, CAU-EX-2008-0003, CERTA-2002-AVI-189, CERTA-2002-AVI-200, cisco-sa-20080708-dns, CR102424, CR99135, CSCso81854, CVE-2008-1447, draft-ietf-dnsext-forgery-resilience-05, DSA-1544-2, DSA-1603-1, DSA-1604-1, DSA-1605-1, DSA-1617-1, DSA-1619-1, DSA-1619-2, DSA-1623-1, FEDORA-2008-6256, FEDORA-2008-6281, FEDORA-2009-1069, FreeBSD-SA-08:06.bind, HPSBMP02404, HPSBTU02358, HPSBUX02351, MDVSA-2008:139, MS08-037, NetBSD-SA2008-009, powerdns-advisory-2008-01, PSN-2008-06-040, RHSA-2008:0533-01, RHSA-2008:0789-01, SOL8938, SSA:2008-191-02, SSA:2008-205-01, SSRT080058, SSRT090014, SUSE-SA:2008:033, TA08-190B, TLSA-2008-26, VIGILANCE-VUL-7937, VMSA-2008-0014, VMSA-2008-0014.1, VMSA-2008-0014.2, VU#800113.

Description de la vulnérabilité

Le protocole DNS définit un identifiant de 16 bits permettant d'associer la réponse à la requête. Lorsqu'un attaquant prédit cet identifiant et le numéro de port UDP, il peut envoyer de fausses réponses et ainsi empoisonner le cache DNS.

La majorité des implémentations utilise un numéro de port fixe, ce qui augmente la probabilité de réussir un empoisonnement. Comme il n'y a qu'une seule chance de succès pendant la durée du TTL, et que cet empoisonnement ne réussit pas à chaque essai, cette attaque directe et connue de longue date est peu pratique.

Cependant, au lieu d'empoisonner l'enregistrement de réponse, l'attaquant peut empoisonner les enregistrements additionnels. En effet, lorsque le client DNS demande l'adresse de www.example.com, le serveur DNS retourne :
  www.example.com A 1.2.3.4 (réponse)
  example.com NS dns.example.com (autoritaire)
  dns.example.com A 1.2.3.5 (additionnel)

Un attaquant peut donc forcer le client à demander la résolution de nombreux noms (via une page web contenant des images par exemple) : aaa.example.com, aab.example.com, ..., aaz.example.com. Dans ses réponses, l'attaquant fournit alors toujours le même enregistrement additionnel illicite (www.example.com A 5.6.7.8). Même si, par exemple, seul aab.example.com est empoisonné, son enregistrement additionnel (www.example.com = 5.6.7.8) sera stocké dans le cache.

Un attaquant peut ainsi empoisonner le cache/client DNS et rediriger tous les utilisateurs vers un site illicite.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique 5947

DNS : déni de service via les services UDP echo

Synthèse de la vulnérabilité

Un attaquant peut provoquer une boucle de messages entre un serveur DNS et les services UDP comme echo.
Produits concernés : BIND, DNS (protocole).
Gravité : 1/4.
Conséquences : déni de service du service.
Provenance : client internet.
Date création : 23/06/2006.
Références : VIGILANCE-VUL-5947.

Description de la vulnérabilité

Lorsqu'un serveur DNS reçoit une requête malformée, il retourne un paquet DNS d'erreur de format.

Certains services UDP retournent automatiquement des paquets UDP en réponse à un paquet reçu:
 - echo : 7/udp
 - daytime : 13/udp
 - chargen : 19/udp
 - time : 37/udp
 - kpasswd (Kerberos) : 464/udp

Un attaquant peut usurper un paquet UDP destiné à l'un de ces services, avec comme adresse IP source celle du serveur DNS. Une boucle infinie se produit alors.

La dernière version du serveur DNS Bind ignore les requêtes provenant de ces ports afin de ne plus être sensible à ce type d'attaque.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2006-2072 CVE-2006-2073 CVE-2006-2074

DNS : vulnérabilités de certaines implémentations

Synthèse de la vulnérabilité

Plusieurs implémentations du protocole DNS sont sensibles aux mêmes vulnérabilités.
Produits concernés : Arkoon FAST360, Juniper E-Series, JUNOSe, DNS (protocole), Unix (plateforme) ~ non exhaustif.
Gravité : 1/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 25/04/2006.
Références : 144154, 144154/NISCC/DNS, 31AK-2006-02-FR-1.0_FAST_DNS_DOS, BID-17691, BID-17692, BID-17693, BID-17694, CQ 72492, CVE-2006-2072, CVE-2006-2073, CVE-2006-2074, CVE-2006-2075, CVE-2006-7054, PSN-2006-04-017, VIGILANCE-VUL-5796, VU#955777.

Description de la vulnérabilité

Le protocole DNS est notamment utilisé pour associer une adresse IP à un nom, ou pour obtenir les serveurs de messagerie d'un domaine.

Le groupe OUSPG de l'Université de Oulu (Finlande) a publié une suite de tests nommée PROTOS DNS. Cette suite de tests contient plusieurs milliers de paquets DNS malformés.

Lorsque certains produits reçoivent ces paquets, des erreurs se produisent. Il s'agit par exemple de buffer overflow ou de dénis de service.

En fonction des produits, ces vulnérabilités permettent donc de faire exécuter de code ou de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2006-0987 CVE-2006-0988

DNS : déni de service à l'aide de serveurs récursifs

Synthèse de la vulnérabilité

Un attaquant peut empoisonner le cache d'un serveur DNS récursif puis s'en servir pour surcharger un réseau.
Produits concernés : AIX, DNS (protocole).
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : serveur internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 01/03/2006.
Date révision : 21/03/2006.
Références : CVE-2006-0987, CVE-2006-0988, VIGILANCE-VUL-5656.

Description de la vulnérabilité

Un serveur DNS récursif accepte de traiter les requêtes concernant des domaines pour lesquels il n'est pas autoritaire.

Un attaquant peut mettre en place un serveur DNS pour lequel il est autoritaire. Il peut alors créer des zones contenant de très nombreuses données. L'extension EDNS0 (RFC 2671) permet notamment de créer des messages de plus de 512 octets.

L'attaquant peut ensuite mener une requête concernant son domaine à un serveur DNS récursif. Ce serveur DNS récursif stocke alors dans son cache les données provenant du serveur DNS de l'attaquant.

L'attaquant usurpe ensuite de nombreuses requêtes concernant le domaine et les envoie au serveur DNS récursif. Ce serveur DNS répond alors à l'adresse usurpée, avec les données qu'il a en cache.

Ainsi, l'attaquant peut mener un millier de requêtes de 60 octets, et faire générer un millier de réponses de plusieurs ko à destination de la cible usurpée. Le serveur DNS récusif sert ainsi d'amplificateur.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2005-0036 CVE-2005-0037 CVE-2005-0038

DNS : déni de service lors de la décompression de messages

Synthèse de la vulnérabilité

Certaines implémentations du protocole DNS ne gèrent pas correctement les messages compressés.
Produits concernés : IOS par Cisco, Cisco Router, DNS (protocole).
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : serveur internet.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 24/05/2005.
Références : BID-13729, CERTA-2005-AVI-175, CERTA-2005-AVI-181, CISCO20050524a, Cisco CSCeh59380, Cisco CSCeh63819, Cisco CSCsa67666, Cisco CSCsa67687, CSCsa67687, CVE-2005-0036, CVE-2005-0037, CVE-2005-0038, V6-DNSDECOMPLOOPDOS, VIGILANCE-VUL-4978.

Description de la vulnérabilité

Le protocole DNS définit une méthode de compression permettant de supprimer les segments redondants. Par exemple, un message peut contenir :
  www.domaine.dom
  dns.domaine.dom
Dans ce cas, la deuxième référence à "domaine.com" peut simplement renvoyer à l'offset de la première.

Cependant, certaines implémentations ne vérifient pas correctement les offsets. Ceux ci peuvent pointer vers l'offset courant afin de créer une boucle infinie. Ils peuvent aussi pointer après la fin des données afin de provoquer un déni de service.

Un attaquant distant peut donc émettre un paquet DNS compressé illicitement afin de mener un déni de service sur certaines implémentations du protocole.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique 4285

DNS spoofing en envoyant des réponses DNS

Synthèse de la vulnérabilité

Un attaquant distant peut envoyer des réponses DNS illicites qui seront acceptées par certaines implémentations, notamment par Windows XP et 2000.
Produits concernés : Windows 2000, Windows XP, DNS (protocole).
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : serveur internet.
Date création : 16/07/2004.
Date révision : 17/08/2004.
Références : V6-WINXPDNSIDPORT, VIGILANCE-VUL-4285.

Description de la vulnérabilité

La RFC 1035 définit le protocole DNS.

Avant d'accepter une réponse, un resolver/client DNS devrait vérifier :
 1- l'adresse IP source
 2- l'adresse IP destination
 3- le port UDP source
 4- le port UDP destination
 5- le checksum UDP
 6- l'identifiant DNS (transaction ID)
 7- le champ question (doit être le même que celui posé dans la requête)
 8- le champ réponse (doit répondre à la question)

La RFC 1035 n'impose que les critères 4 et 6, pour diverses raisons qui sont légitimes et documentées dans les RFC, mais très rarement nécessaires.

Certaines implémentations prennent en compte la sécurité et vérifient les 8 critères (Linux). Windows XP/2000 suit la RFC en n'imposant que les critères 4 et 6.

Dans l'absolu, ce choix d'implémentation ne pose pas de réel problème de sécurité (4 milliards de combinaisons), mais Windows utilise pour ses requêtes :
 - soit un identifiant constant (1) et un numéro de port s'incrémentant (nouvelle connexion de la pile TCP/IP)
 - soit un identifiant s'incrémentant et un numéro de port constant (service client toujours actif)
Cette vulnérabilité a été présentée dans le bulletin VIGILANCE-VUL-4060.

Lorsqu'un parc informatique est équipé de nombreuses machines Windows, un attaquant peut augmenter ses chances de réussite. En effet, il peut pré-générer une réponse qu'il enverra à toutes les machines. Ainsi, à l'aide de peu de ressources, la probabilité de corrompre un ou plusieurs cache DNS devient non négligeable.

Cette variante de la mise en oeuvre de la vulnérabilité VIGILANCE-VUL-4060 permet donc à un attaquant de corrompre le cache DNS de plusieurs machines.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Protocole DNS :