Mise à jour de sécurités pour BIND

Numéro : AV15-079
Date : Le 3 septembre 2015

Objet

Le but de cet avis est d'attirer l'attention sur les correctifs de sécurité récemment publié pour BIND.

Évaluation

Internet Systems Consortium (ISC) a publié des correctifs de sécurité pour résoudre des vulnérabilités dans BIND.  Un attaquant distant qui fournit une réponse malicieusement construite en réponse à une requête, ou en utilisant une requête qui nécessite une réponse d'une zone contenant une clé volontairement malformée peut provoquer une terminaison du résolveur valideur en raison d'un échec de l'assertion dans le cas de la première vulnérabilité dans openpgpkey_61.c et dans la seconde vulnérabilité dans buffer.c. Les serveurs qui sont touchés peuvent se terminer par un échec de l'assertion, provoquant un déni de service à tous les clients.

Versions affectées: BIND 9.0.0 -> 9.8.8, BIND 9.9.0 -> 9.9.7-P2, BIND 9.10.0 -> 9.10.2-P3.

Références CVE: CVE-2015-5722, CVE-2015-5986

Mesures Recommandées

Le CCRIC recommande que les propriétaires / exploitants de tester et déployer les mises à jour publiées du fournisseur ou d'appliquer les solutions de contournement à plates-formes concernées en conséquence.

Références:

CVE-2015-5722: Parsing malformed keys may cause BIND to exit due to a failed assertion in buffer.c
https://kb.isc.org/article/AA-01287/0 (en anglais)
CVE-2015-5986: An incorrect boundary check can trigger a REQUIRE assertion failure in openpgpkey_61.c
https://kb.isc.org/article/AA-01291/0 (en anglais)

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :