Vulnérabilités des implémentations DNS "peu répandues"

Date : 17 Juin 2005

Le "NISCC" ("National Infrastructure Security Co-ordination Centre" - UK) a émis ce mois-ci un avis de sécurité sur plusieurs vulnérabilités touchant les implémentations DNS ("Domain Name System").

 Ces vulnérabilités entraînant un déni de service du serveur de noms, restent cependant sans effet sur les implémentations les plus couramment utilisées.

 Analyse

Le protocole DNS (RFC 1035 et 1035) permet de convertir des noms de machine (www.cert-ist.com) en adresse IP (213.56.132.2) et inversement. Les messages employés par les transactions DNS peuvent être de deux types : "requête" ("query") et "réponse" ("response"). Cette distinction permet de différencier les échanges dans l'arbre de résolution des implémentations de ce protocole.

 Suite à des tests, il a été remarqué que cette distinction n'était parfois pas prise en compte dans certaines implémentations DNS, ce qui a amené à constater des disfonctionnements de ces dernières.

 En effet, certaines implémentations autorisent une réponse (message de type "réponse") à la réception d'un message également de type "réponse". Cet état peut entraîner une boucle infinie entre deux serveurs de noms vulnérables, ce qui aura pour conséquence une consommation excessive des ressources sur les deux systèmes pouvant amener à terme un déni de service.

 Une seconde vulnérabilité, s'appuyant sur le même concept, peut-être mise en pratique par l'envoi de paquets IP (correspondant à un requête DNS) ayant une adresse source "spoofée" (adresse de type "Localhost" – 127.0.0.1) vers le serveur DNS présentant les caractéristiques mentionnées ci-dessus. Ces paquets déclencheront alors une boucle infinie sur le serveur DNS qui deviendra inutilisable.

 Implémentations vulnérables

A ce jour, seules quelques implémentations de serveurs DNS semblent impactées par ce phénomène.

 Le tableau ci-dessous vous présente les différentes informations disponibles lors de la rédaction de cet article sur les implémentations plus ou moins courantes.

 

Implémentations

Statut

Axis

Vulnérable

Cisco

En cours d'analyse

CyberGuard

Non vulnérable

Hewlett-Packard

Non vulnérable

ISC (Bind)

Non vulnérable

JDNSS

Non vulnérable

JH Software

Non vulnérable

Juniper

Non vulnérable

Men & Mice

Non vulnérable

MyDNS

Non vulnérable

Posadis

Vulnérable

Sprint

Non vulnérable

Wind River

Non vulnérable

 

Pour plus d'information :

Précedent Précedent Suivant Suivant Imprimer Imprimer