Vulnérabilités dans Bind

De multiples vulnérabilités ont été découvertes dans Bind, un serveur DNS. Un attaquant distant non-authentifié peut provoquer un déni de service, ainsi qu’utiliser le déni de service en tant qu amplificateur dans une attaque par déni de service distribué.

CVE-2019-6477 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déni de service a été découverte dans Bind. Un attaquant distant non-authentifié peut provoquer un ralentissement du service via l’envoi via l’envoi de communications TCP spécialement conçues.

CVE-2020-8616 [Score CVSS v3 : 8.6] : Une vulnérabilité de type déni de service a été découverte dans Bind. Un attaquant distant non-authentifié peut causer un important ralentissement du serveur via l’envoi d’un “referral” DNS spécialement conçu. Additionnellement, il est possible pour l’attaquant d’utiliser le serveur vulnérable comme un facteur d’amplification dans une attaque de déni de service distribué.

CVE-2020-8617 [Score CVSS v3 : 7.5] : Une vulnérabilité menant à un état incohérent a été découverte dans Bind. Un attaquant distant non-authentifié peut, après avoir deviné le nom de la clé TSIG utilisée par le serveur, mener ce dernier à s’exécuter dans un état incohérent pouvant produire des résultats qualifiés de dangereux.

CVE-2020-8620 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déni de service a été découverte dans Bind. Un attaquant distant non-authentifié peut provoquer un plantage du service via l’envoi de communications TCP spécialement conçues.

CVE-2020-8621 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déni de service a été découverte dans Bind. Un attaquant distant non-authentifié peut provoquer un plantage du service via l’envoi de requêtes spécialement conçues.

CVE-2020-8623 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déni de service a été découverte dans Bind. Un attaquant distant non-authentifié peut provoquer un plantage du service via l’envoi de paquets spécialement conçus.