Des trois vulnérabilités découvertes hier dans Bind, seule la première permet de réellement prendre le contrôle du serveur. Et encore, uniquement lorsque ce dernier est utilisé dans son mode par défaut (récursif). Mais pour qui connaît la popularité de Bind, utilisé pour résoudre les noms de domaines d’une très grande partie d’Internet, la moindre de ses failles prend vite une ampleur mondiale. Et c’est justement le cas aujourd’hui avec les découvertes de l’équipe X Force, de l’éditeur ISS .Ces trois failles frappent les versions 4 (jusqu’à la 4.9.10) et 8 (jusqu’à la 8.3.3) du logiciel libre. La toute dernière version (9.2.1) n’est toutefois pas concernée.La première bourde est un habituel dépassement de mémoire tampon. Il permettrait de prendre le contrôle du serveur si celui-ci fonctionne en mode dit « récursif » (c’est la configuration par défaut). La faille se situe dans une portion du code de Bind chargée de créer la réponse aux résolutions récursives (pour les spécialistes, il s’agit des Ressource Record, RR).Les deux autres vulnérabilités ne permettent pas de prendre le contrôle du serveur, mais de le neutraliser. Il lui faut pour cela demander la résolution d’un nom sur une paire domaine existant / sous-domaine inexistant, ou bien donner une mauvaise valeur de durée de vie (TTL) aux enregistrements placés dans le cache du serveur.Une attaque qui demande de la préparationAfin d’exploiter ces trois attaques, le pirate devra à l’avance créer un serveur DNS et le déclarer comme ayant autorité sur toutes les zones, afin de forcer le serveur DNS cible à le contacter. Cela n’est toutefois pas très compliqué : les attaque par empoisonnement du cache exigent la même préparation, et sont relativement courantes.Selon ISS, ces failles n’ont pas encore étés exploitées, et aucun outil automatisé ne circule pour les mettre en oeuvre. Mais l’éditeur remarque qu’elles sont simples à scripter, ce qui rendrait aisée l’écriture d’un ver capable de les utiliser pour se propager rapidement à travers Internet.La meilleure parade à cela est de mettre Bind à jour. Lorsque ce n’est pas possible immédiatement, ISS conseille de désactiver le mode récursif, et de fonctionner en mode itératif. Si cela aussi n’est pas possible, une dernière mesure pourrait être de neutraliser le trafic TCP DNS, et de lui préférer le trafic UDP, pour lequel ces attaques n’ont pas étés encore observées.