Failles critiques dans Bind : que risque votre DNS ?
Votre serveur DNS est-il à l’abri ? Trois vulnérabilités viennent d’être corrigées dans Bind, le logiciel de référence pour la résolution de noms. Elles permettent à un attaquant distant de faire planter le service ou même d’exécuter du code arbitraire avec les privilèges du processus. Explications.
Zoom sur les trois CVE
- CVE-2021-25214 : Bind ne vérifie pas correctement les mises à jour incrémentales de zone. Un paquet malveillant suffit à provoquer un denial of service.
- CVE-2021-25215 : l’analyse des enregistrements DNAME peut corrompre la mémoire, ouvrant la porte à l’exécution de code.
- CVE-2021-25216 : la politique de sécurité GSSAPI est contournable, autorisant des requêtes non authentifiées.
Pourquoi c’est urgent
Bind est présent dans la majorité des infrastructures critiques : opérateurs télécom, hébergeurs, hôpitaux, industrie. Un DNS hors-service signifie emails introuvables, sites inaccessibles, API qui tombent… et parfois des équipements médicaux qui cessent de fonctionner. L’attaque peut être lancée à distance sans authentification ; la surface d’exposition est donc maximale.
Que faire immédiatement
- Mettez à jour Bind vers la version corrigée fournie par Ubuntu :
sudo apt update && sudo apt install bind9. - Relancez le service :
sudo systemctl restart bind9. - Vérifiez la version :
named -v; la patch doit être postérieure aux versions vulnérables. - Surveillez les journaux pour toute anomalie :
journalctl -u bind9 -f.
Conclusion
Patch, surveillez, et surtout ne laissez pas Bind ouvert au monde entier si vous n’en avez pas besoin. Limitez l’accès via pare-feu ou TSIG, et activez DNSSEC pour ajouter une couche de confiance. Votre infrastructure vous dira merci.