Informations de sécurité / 2020 / Informations sur la sécurité -- DSA-4689-1 bind9

Bulletin d'alerte Debian

DSA-4689-1 bind9 -- Mise à jour de sécurité

Date du rapport :

19 mai 2020

Paquets concernés :

bind9

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 945171.
Dans le dictionnaire CVE du Mitre : CVE-2019-6477, CVE-2020-8616, CVE-2020-8617.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans BIND, une implémentation de serveur DNS.

• CVE-2019-6477

  Les requêtes acheminées par TCP peuvent contourner les limites du client TCP avec pour conséquence un déni de service.

• CVE-2020-8616

  BIND ne limite pas suffisamment le nombre de récupérations réalisées lors du traitement de références. Un attaquant peut tirer avantage de ce défaut pour provoquer un déni de service (dégradation de performance) ou pour utiliser le serveur de récursion dans une attaque par réflexion avec un haut facteur d'amplification.

• CVE-2020-8617

  Une erreur logique dans le code qui vérifie la validité TSIG peut être utilisée pour déclencher un échec d'assertion, avec pour conséquence un déni de service.

Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés dans la version 1:9.10.3.dfsg.P4-12.3+deb9u6.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 1:9.11.5.P4+dfsg-5.1+deb10u1.

Nous vous recommandons de mettre à jour vos paquets bind9.

Pour disposer d'un état détaillé sur la sécurité de bind9, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/bind9.