Vigil@nce - BIND : déni de service via DNS64 et RPZ
janvier 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsque BIND est configuré avec DNS64, et avec une règle de
réécriture RPZ pour un enregistrement A uniquement, alors une
requête AAAA provoque une erreur d’assertion, qui stoppe le
service
.
Produits concernés : BIND
Gravité : 1/4
Date création : 25/01/2013
DESCRIPTION DE LA VULNÉRABILITÉ
BIND prend en charge DNS64, un mécanisme de traduction d’adresse
IPv4 vers IPv6 pour répondre à une demande d’adresse IPv6 (type
AAAA), alors que seuls des enregistrements de type adresse IPv4
(A) sont disponibles. Cette fonctionnalité est activée via
l’option "dns64" du fichier de configuration. Par exemple :
dns64 1:2: :/96
suffix : : ;
;
BIND supporte les RPZ (Response Policy Zone) qui permettent à un
serveur récursif de modifier les réponses retournées au client. Un
fichier de configuration RPZ peut contenir des règles de
réécriture. Par exemple :
*.illicite1.dom A www.redirige.dom
Lorsque BIND est configuré avec DNS64, et avec une règle de
réécriture RPZ pour un enregistrement A uniquement, un attaquant
peut envoyer une requête AAAA. Celle-ci est convertie par DNS64,
mais elle n’est pas trouvée dans RPZ, ce qui provoque une erreur
d’assertion, et stoppe le service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/BIND-deni-de-service-via-DNS64-et-RPZ-12351