Authentification Bypass Flaw Patch dans BIND, Knot DNS


Les développeurs du logiciel BIND et Knot DNS ont publié des mises à jour pour réparer une vulnérabilité potentiellement grave qui peut être exploitée pour contourner les mécanismes d'authentification.

Le défaut, découvert par Clément Berthaux de Synacktiv, est lié à Transaction SIGnature (TSIG), un protocole d'authentification utilisé par le Domain Name System (DNS). Le protocole est principalement utilisé pour authentifier les mises à jour DNS dynamiques et les opérations de zone.

Un attaquant capable de communiquer avec un serveur DNS autorisé et ayant connaissance d'un nom de clé valide peut exploiter le trou de sécurité pour contourner l'authentification TSIG et effectuer des transferts ou des mises à jour de zones non autorisés.

"Ce problème est dû au fait que lorsque le serveur reçoit une demande dont l'horodatage TSIG est hors de la fenêtre de temps, il signe toujours sa réponse, en utilisant le résumé fourni comme préfixe même si ce résumé Est invalide et a une taille incorrecte. Cela permet à un attaquant de forger la signature d'une demande valide, contournant ainsi l'authentification TSIG, "Berthaux a écrit dans un avis.

Le transfert de zone DNS est le processus dans lequel un serveur DNS transmet une copie de sa base de données (c'est-à-dire zone) à un autre serveur DNS. L'obtention d'une copie des enregistrements de zone peut être utile pour un attaquant, car ils peuvent contenir des informations qui peuvent être utilisées pour les attaques de spoofing DNS.

Le Consortium des systèmes Internet (ISC) suit ce problème en tant que deux vulnérabilités distinctes: un défaut de sévérité moyenne qui permet des transferts de zone non autorisés (CVE-2017-3142) et une gravité élevée …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Font Resize
Contrast
Aller à la barre d’outils