Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsque BIND est configuré avec DNS64, et avec une règle de
réécriture RPZ pour un enregistrement A uniquement, alors une
requête AAAA provoque une erreur d’assertion, qui stoppe le
service
.
Produits concernés : BIND

Gravité : 1/4

Date création : 25/01/2013

DESCRIPTION DE LA VULNÉRABILITÉ

BIND prend en charge DNS64, un mécanisme de traduction d’adresse
IPv4 vers IPv6 pour répondre à une demande d’adresse IPv6 (type
AAAA), alors que seuls des enregistrements de type adresse IPv4
(A) sont disponibles. Cette fonctionnalité est activée via
l’option "dns64" du fichier de configuration. Par exemple :

dns64 1:2: :/96

 ;

BIND supporte les RPZ (Response Policy Zone) qui permettent à un
serveur récursif de modifier les réponses retournées au client. Un
fichier de configuration RPZ peut contenir des règles de
réécriture. Par exemple :

*.illicite1.dom A www.redirige.dom

Lorsque BIND est configuré avec DNS64, et avec une règle de
réécriture RPZ pour un enregistrement A uniquement, un attaquant
peut envoyer une requête AAAA. Celle-ci est convertie par DNS64,
mais elle n’est pas trouvée dans RPZ, ce qui provoque une erreur
d’assertion, et stoppe le service.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/BIND-deni-de-service-via-DNS64-et-RPZ-12351