L’Internet Systems Consortium (ISC) a publié des correctifs pour corriger plusieurs vulnérabilités de sécurité dans le domaine de noms Internet de Berkeley (LIER) 9 Suite logicielle Domain Name System (DNS) qui pourrait être exploitée pour déclencher une condition de déni de service (DoS).
« Un acteur de cybermenace pourrait exploiter l’une de ces vulnérabilités pour provoquer une condition de déni de service », a déclaré l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA). dit dans un avis consultatif.
La liste des quatre vulnérabilités est répertoriée ci-dessous :
- CVE-2024-4076 (Score CVSS : 7,5) – En raison d’une erreur logique, les recherches qui ont déclenché la diffusion de données obsolètes et ont nécessité des recherches dans les données de la zone locale faisant autorité ont pu entraîner un échec d’assertion
- CVE-2024-1975 (Score CVSS : 7,5) – La validation des messages DNS signés à l’aide du protocole SIG(0) peut entraîner une charge CPU excessive, conduisant à une condition de déni de service.
- CVE-2024-1737 (Score CVSS : 7,5) – Il est possible de créer un nombre excessivement important de types d’enregistrements de ressources pour un nom de propriétaire donné, ce qui a pour effet de ralentir le traitement de la base de données
- CVE-2024-0760 (Score CVSS : 7,5) – Un client DNS malveillant qui envoyait de nombreuses requêtes via TCP mais ne lisait jamais les réponses pouvait entraîner une réponse lente ou inexistante d’un serveur pour d’autres clients
L’exploitation réussie des bogues susmentionnés pourrait entraîner la fermeture inattendue d’une instance nommée, épuiser les ressources CPU disponibles, ralentir le traitement des requêtes d’un facteur 100 et rendre le serveur insensible.
Les failles ont été corrigées dans les versions 9.18.28, 9.20.0 et 9.18.28-S1 de BIND 9, publiées plus tôt ce mois-ci. Rien ne prouve que l’une quelconque de ces failles ait été exploitée dans la nature.
Cette divulgation intervient quelques mois après que l’ISC a corrigé une autre faille dans BIND 9 appelée KeyTrap (CVE-2023-50387, score CVSS : 7,5) qui pourrait être exploitée pour épuiser les ressources du processeur et bloquer les résolveurs DNS, entraînant un déni de service (DoS).