Attaque par délégations DNS infinies « iDNS Attack »

L’ANSSI a identifié une vulnérabilité dans les trois principaux serveurs DNS libres offrant le service de résolution récursive : BIND, Unbound et PowerDNS Recursor.

Publié le 22 Février 2016 Mis à jour le 22 Février 2016

Cette vulnérabilité peut être exploitée pour effectuer des dénis de service des infrastructures DNS elles-mêmes, ainsi qu’être employée pour effectuer des attaques en dénis de service distribuées contre des tiers, avec une amplification de paquets significative.

Toutes les versions de ces logiciels sont affectées. Les versions non-vulnérables sont BIND 9.9.6-P1, BIND 9.10.1-P1, Unbound 1.5.1 et PowerDNS Recursor 3.6.2. Aucune technique de contournement (« workaround ») n’existe, permettant de totalement éviter le risque. Des techniques permettent cependant, pour Unbound et PowerDNS Recursor, de limiter la vraisemblance ou l’impact de cette attaque.

L’ANSSI encourage donc les opérateurs à appliquer les mesures correctives dans les meilleurs délais.

Pour plus d’informations, nous vous invitons à vous référer au document de synthèse et à son annexe technique disponibles ci-dessous, ainsi qu’aux différents bulletins d’alertes publiés par : ISC, NlNet Labs, PowerDNS.

PDF

Attaque par délégations DNS infinies « iDNS Attack »

Que recherchez-vous ?

Découvrir l'ANSSI

Découvrir la cybersécurité

Développer des solutions de confiance

Sécuriser son organisation

Se former à la cybersécurité

Connaître et explorer

S'informer sur la réglementation

Attaque par délégations DNS infinies « iDNS Attack »