CERTA-2013-AVI-506

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité a été découverte dans DNS Response Rate Limiting. Elle permet à un attaquant de provoquer une atteinte à l'intégrité des données. RRL est une technologie de protection contre les attaques de type Déni de Services Distribués (DDoS) réalisées au travers de serveurs DNS faisant autorité sur leurs domaines. Lorsqu'elle est activée, le serveur DNS filtre certaines des réponses qu'il aurait du légitimement émettre. L'objectif de ce filtrage est d'atténuer les effets d'une attaque en cours. Le mécanisme appelé "slipping" en contrôle la fréquence et est un paramètre fondamental dont le choix de la valeur est l'objet de cet avis.

Contournement provisoire

Dans les solutions DNS affectées qui implémentent la technologie RRL, la valeur du paramètre "slip" configurée par défaut est égale à "2". Cette valeur introduit un risque d'attaques par pollution de cache DNS. Le CERTA recommande donc de positionner la valeur de ce paramètre à "1" qui annule ce risque.
Les modifications de configuration ci-dessous doivent être réalisées :

  • Pour le logiciel "Bind", la version du patch RRL pour Bind antérieure au 4 avril 2013 est défaillante lorsque "slip" est positionné à la valeur "1". Une version ultérieure à cette date doit être utilisée pour corriger la vulnérabilité.
  • Pour la version 3.2.15 de NSD, la valeur par défaut de slipping est "2", et cette dernière ne peut être reconfigurée. Il est recommandée d'utiliser les versions ultérieures.
None
Impacted products
Vendor Product Description
N/A N/A Knot versions inférieures à 1.3.0
ISC BIND Bind versions 9.8 et 9.9
N/A N/A NSD version 3.2.15
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Knot versions inf\u00e9rieures \u00e0 1.3.0",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "Bind versions 9.8 et 9.9",
      "product": {
        "name": "BIND",
        "vendor": {
          "name": "ISC",
          "scada": false
        }
      }
    },
    {
      "description": "NSD version 3.2.15",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Contournement provisoire\n\nDans les solutions DNS affect\u00e9es qui impl\u00e9mentent la technologie RRL, la\nvaleur du param\u00e8tre \"slip\" configur\u00e9e par d\u00e9faut est \u00e9gale \u00e0 \"2\". Cette\nvaleur introduit un risque d\u0027attaques par pollution de cache DNS. Le\nCERTA recommande donc de positionner la valeur de ce param\u00e8tre \u00e0 \"1\" qui\nannule ce risque.  \nLes modifications de configuration ci-dessous doivent \u00eatre r\u00e9alis\u00e9es :\n\n-   Pour le logiciel \"Bind\", la version du patch RRL pour Bind\n    ant\u00e9rieure au 4 avril 2013 est d\u00e9faillante lorsque \"slip\" est\n    positionn\u00e9 \u00e0 la valeur \"1\". Une version ult\u00e9rieure \u00e0 cette date doit\n    \u00eatre utilis\u00e9e pour corriger la vuln\u00e9rabilit\u00e9.\n-   Pour la version 3.2.15 de NSD, la valeur par d\u00e9faut de slipping est\n    \"2\", et cette derni\u00e8re ne peut \u00eatre reconfigur\u00e9e. Il est recommand\u00e9e\n    d\u0027utiliser les versions ult\u00e9rieures.\n",
  "cves": [
    {
      "name": "CVE-2013-5661",
      "url": "https://www.cve.org/CVERecord?id=CVE-2013-5661"
    }
  ],
  "links": [],
  "reference": "CERTA-2013-AVI-506",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2013-09-09T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans \u003cspan class=\"textit\"\u003eDNS\nResponse Rate Limiting\u003c/span\u003e. Elle permet \u00e0 un attaquant de provoquer\nune atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es. RRL est une technologie de\nprotection contre les attaques de type D\u00e9ni de Services Distribu\u00e9s\n(DDoS) r\u00e9alis\u00e9es au travers de serveurs DNS faisant autorit\u00e9 sur leurs\ndomaines. Lorsqu\u0027elle est activ\u00e9e, le serveur DNS filtre certaines des\nr\u00e9ponses qu\u0027il aurait du l\u00e9gitimement \u00e9mettre. L\u0027objectif de ce filtrage\nest d\u0027att\u00e9nuer les effets d\u0027une attaque en cours. Le m\u00e9canisme appel\u00e9\n\"slipping\" en contr\u00f4le la fr\u00e9quence et est un param\u00e8tre fondamental dont\nle choix de la valeur est l\u0027objet de cet avis.  \n",
  "title": "Vuln\u00e9rabilit\u00e9 dans DNS Response Rate Limiting",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.