[Warning] Schwachstelle in Nameserversoftware BIND 9
Matthias Fraidl
fraidl at cert.at
Thu Sep 13 13:01:56 CEST 2012
13. September 2012
CERT.at ersucht um Beachtung der folgenden Meldung.
Beschreibung
Wie das Internet Software Consortium (ISC) bekannt gegeben hat[1],
existiert in der weit verbreiteten [3]Nameserver-Software BIND ein
Problem, das zum Absturz des Dienstes "named" führen kann. Es kann nicht
ausgeschlossen werden, dass diese Schwachstelle auch zum Einbruch in den
Nameserver genutzt werden kann.
Durch speziell präparierte Resource Records bei welchen RDATA-Felder
länger als 65535 Bytes sind, können rekursive BIND-Nameserver zum
Absturz gebracht werden. Weiters können auch autoritative Server
betroffen sein, wenn eine Zone mit solchen Resource Records geladen
wird, zum Beispiel durch übertragen von Zonen-Dateien.
CVE Referenz-Nummer:
* CVE-2012-4244
Details
Durch manigfaltige Möglichkeiten von "deflection attacks", reicht es
nicht, wenn der rekursive Nameserver nach Aussen hin abgeschottet wird.
Denn ein Angreifer kann mittels "deflection" über interne Server
wiederum den rekursiven Nameserver zum Absturz zu bringen.
Beispiel: der Angreifer schickt eine Mail an den Mailserver, der Mail
Header löst eine Anfrage an den rekursiven Nameserver aus und somit kam
die Anfrage von innen.
Es gibt zum derzeitigen Wissensstand keine Möglichkeiten der
Risikoreduzierung ausser ein Upgrade auf die gepatchte Version.
Auswirkungen
Da DNS für die Auflösung von Domain-Namen in IP-Adressen zuständig ist,
kann ein Ausfall eines rekursiven Nameservers für Endbenutzer bedeuten,
dass ihre Internetverbindung nicht mehr "funktioniert".
Es gibt schon Berichte, dass diese Schwachstelle zu ungewollten
Dienstunterbrechungen geführt hat. Noch gibt es keine Berichte, dass
dieser Fehler auch zum Einschleusen und Ausführen von Schadsoftware
genutzt wurde.
Betroffene Systeme
Laut ISC sind folgende Versionen betroffen:
* BIND 9.0.x bis 9.6.x
* BIND 9.4-ESV bis 9.4-ESV-R5-P1
* BIND 9.6-ESV bis 9.6-ESV-R7-P2
* BIND 9.7.0 bis 9.7.6-P2
* BIND 9.8.0 bis 9.8.3-P2
* BIND 9.9.0 bis 9.9.1-P2
Abhilfe
Upgrade auf die zur Verfügung gestellte Version 9.7.7, 9.7.6-P3,
9.6-ESV-R8, 9.6-ESV-R7-P3, 9.8.4, 9.8.3-P3, 9.9.2 oder 9.9.1-P3.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, und auch auf Servern sich
automatisch die verfügbaren Updates anzeigen zu lassen.
__________________________________________________________________
References
1. https://kb.isc.org/article/AA-00778/74
--
// CERT Austria - Matthias Fraidl <fraidl at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der NIC.at Internet Verwaltungs- und Betriebs GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 897 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20120913/0bb5a2d6/attachment.sig>
More information about the Warning
mailing list