Il a été révélé qu'une expression régulière malveillante peut provoquer un déni de service d'un serveur BIND sur les systèmes Unix et Linux. D'autres programmes utilisant libdns de BIND sont aussi potentiellement vulnérables à cette faille.
Ce bug critique permet à un pirate de provoquer une consommation excessive de mémoire sur la machine ciblée. Ce qui pourrait conduire au crash de BIND et nuire aux autres services installés sur la machine.
Le problème a été signalé sur la CVE-2013-2266 et ne concerne que les versions Linux et Unix de BIND. Les versions vulnérables sont la 9.7.x, 9.8.0 à 9.8.5b1 et 9.9.0 à 9.9.3b1 de BIND. Les versions précédentes à la 9.7.0 et la version 10 ne sont pas vulnérables.
De nouvelles releases de BIND corrigent cette faille dans les versions 9.9.2-P2 et 9.8.4-P2. La version 9.7 a déjà atteint sa fin de vie et n'est donc plus maintenue.
L'Internet Systems Consortium (ISC), qui maintient BIND, souligne que la faile n'est pas très difficile à exploiter et recommande une action immédiate des administrateurs utilisant BIND sur leurs serveurs.
Jeu de briques
Snake
Pacman
Bubble