Multiples vulnérabilités dans ISC BIND

Gestion du document

Référence	CERTFR-2017-AVI-184
Titre	Multiples vulnérabilités dans ISC BIND
Date de la première version	16 juin 2017
Date de la dernière version	16 juin 2017
Source(s)	Bulletin de sécurité ISC AA-01495 du 14 juin 2017 Bulletin de sécurité ISC AA-01496 du 14 juin 2017
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

déni de service à distance
élévation de privilèges

Systèmes affectés

BIND 9 versions 9.9.x antérieures à 9.9.10-P1
BIND 9 versions 9.10.x antérieures à 9.10.5-P1
BIND 9 versions 9.11.x antérieures à 9.11.1-P1

Résumé

De multiples vulnérabilités ont été corrigées dans ISC BIND. Elles permettent à un attaquant de provoquer un déni de service à distance et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité ISC AA-01495 du 14 juin 2017

https://kb.isc.org/article/AA-01495/74/CVE-2017-3140%3A-An-error-processing-RPZ-rules-can-cause-named-to-loop-endlessly-after-handling-a-query.html

Bulletin de sécurité ISC AA-01496 du 14 juin 2017

https://kb.isc.org/article/AA-01496/74/CVE-2017-3141%3A-Windows-service-and-uninstall-paths-are-not-quoted-when-BIND-is-installed.html

Note Opérationelle sur BIND 9.11.1
```
https://kb.isc.org/article/AA-01497
```

Référence CVE CVE-2017-3140

https://www.cve.org/CVERecord?id=CVE-2017-3140

Référence CVE CVE-2017-3141

https://www.cve.org/CVERecord?id=CVE-2017-3141

Avis du CERT-FR

Objet: Multiples vulnérabilités dans ISC BIND