Vulnérabilités dans Unbound
Date de publication :
De multiples vulnérabilités ont été découvertes dans Unbound, logiciel de serveur DNS. Un attaquant distant exploitant ces vulnérabilités peut provoquer un déni de service envers la machine vulnérable.
CVE-2020-12662 [Score CVSS v3 : 7.5] : Une vulnérabilité de type “déni de service” a été découverte dans Unbound. L’attaquant distant doit disposer de son propre serveur DNS afin d’exploiter cette vulnérabilité. L’exploitation est possible via l’envoi d’une requête DNS spécialement conçue, résultant en un fort facteur d’amplification du trafic réseau émis par le système vulnérable (déni de service).
CVE-2020-12663 [Score CVSS v3 : 7.5] : Une vulnérabilité de type “déni de service” a été découverte dans Unbound. Un attaquant distant disposant de son propre serveur DNS peut provoquer un déni de service via l’envoi d’une requête spécialement conçue, résultant en l’exécution d’une boucle infinie.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Déni de service
Criticité
Score CVSS v3 : 7.5
Existence d’un code d’exploitation
Aucun code d’exploitation n’est disponible à ce jour. Une publication détaillée de “NXNSAttack”, la vulnérabilité à l’origine de CVE-2020-12662, est cependant disponible publiquement: http://www.nxnsattack.com/
Composants vulnérables
Unbound avant la version 1.10.1
CVE
CVE-2020-12662
CVE-2020-12663
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Unbound vers une version supérieure ou égale à 1.10.1
Solution de contournement
Aucune solution de contournement n’est disponible