L’Internet Systems Consortium (ISC) a publié des correctifs pour résoudre plusieurs vulnérabilités de sécurité dans la suite logicielle du système de noms de domaine (DNS) Berkeley Internet Name Domain (BIND) 9 qui pourraient conduire à une condition de déni de service (DoS).
« Un attaquant distant pourrait exploiter ces vulnérabilités pour potentiellement provoquer des conditions de déni de service et des défaillances du système », a déclaré la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis. m’a dit dans un avis publié vendredi.
Le logiciel open source est utilisé par les principales sociétés financières, les opérateurs nationaux et internationaux, les fournisseurs de services Internet (FAI), les détaillants, les fabricants, les établissements d’enseignement et les entités gouvernementales, selon son site Internet.
Les quatre défauts résident dans nomméun Service BIND9 qui fonctionne comme un serveur de noms faisant autorité pour un ensemble fixe de zones DNS ou comme un résolveur récursif pour les clients sur un réseau local.
La liste des bogues, qui sont notés 7,5 sur le système de notation CVSS, est la suivante –
- CVE-2022-3094 – Une inondation de messages UPDATE peut amener named à épuiser toute la mémoire disponible
- CVE-2022-3488 – BIND Supported Preview Edition nommé peut se terminer de manière inattendue lors du traitement des options ECS dans des réponses répétées à des requêtes itératives
- CVE-2022-3736 – nommé configuré pour répondre à partir du cache obsolète peut se terminer de manière inattendue lors du traitement des requêtes RRSIG
- CVE-2022-3924 – nommé configuré pour répondre à partir du cache obsolète peut se terminer de manière inattendue au quota logiciel des clients récursifs
L’exploitation réussie des vulnérabilités pourrait entraîner le blocage du service nommé ou l’épuisement de la mémoire disponible sur un serveur cible.
Les problèmes affectent les versions 9.16.0 à 9.16.36, 9.18.0 à 9.18.10, 9.19.0 à 9.19.8 et 9.16.8-S1 à 9.16.36-S1. CVE-2022-3488 affecte également les versions 9.11.4-S1 à 9.11.37-S1 de BIND Supported Preview Edition. Ils ont été résolus dans les versions 9.16.37, 9.18.11, 9.19.9 et 9.16.37-S1.
Bien qu’il n’y ait aucune preuve que l’une de ces vulnérabilités soit activement exploitée, il est recommandé aux utilisateurs de mettre à niveau vers la dernière version dès que possible pour atténuer les menaces potentielles.