[Warning] Kritische Schwachstelle in Nameserversoftware BIND 9

Stephan Richter richter at cert.at
Wed Jul 29 13:35:58 CEST 2015 

29. Juli 2015

Beschreibung

   Wie das Internet Systems Consortium (ISC) bekannt gegeben hat[1],
   existiert in der weit verbreiteten Nameserver-Software BIND ein
   Problem, das zum Absturz des Dienstes "named" führen kann.
   Ergänzende Ausführungen finden sich im ISC Blog[2].

   CVE Referenz-Nummer:
     * CVE-2015-5477

   CVSS (laut ISC):
     * CVSS2 Score: 7.8
     * CVSS2 Vector: (AV:N/AC:L/Au:N/C:N/I:N/A:C)

Details

   Ein Angreifer kann mit einer speziell gestalteten TKEY-Abfrage den
   Nameserver zum Absturz bringen.

Auswirkungen

   Da DNS für die Auflösung von Domain-Namen in IP-Adressen zuständig
   ist, kann ein Ausfall eines rekursiven Nameservers für Endbenutzer
   bedeuten, dass ihre Internetverbindung nicht mehr "funktioniert".

   Es ist bislang nicht bekannt, dass diese Schwachstelle bereits
   ausgenutzt wird. Da ein Ausnutzen aber relativ einfach sein dürfte,
   ist davon auszugehen, dass dies bald der Fall sein wird.

Betroffene Systeme

   Laut ISC sind folgende Versionen betroffen:
     * BIND 9.1.0 bis 9.8.x
     * BIND 9.9.0 bis 9.9.7-P1
     * BIND 9.10.0 bis 9.10.2-P2

   Betroffen sind sowohl rekursive, als auch authoritative Nameserver.

Abhilfe

   Upgrade auf die zur Verfügung gestellten Versionen 9.9.7-P2 bzw.
   9.10.2-P3, oder die etwa von Linux-Distributionen bereitgestellten
   speziell gepatchten früheren Versionen (wie zB von Debian).

   Es ist *nicht* möglich, dieses Problem durch Zugriffsbeschränkungen
   (ACLs bzw. entsprechende Konfigurationsoptionen) zu mitigieren, da
   der verwundbare Code ausgeführt wird bevor diese greifen.

   Endbenutzer sind hier in üblichen Setups auf ihre Service-Provider
   angewiesen.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   ISC Knowledge Base (englisch)
   [1]https://kb.isc.org/article/AA-01272
   ISC Blog (englisch)

[2]https://www.isc.org/blogs/about-cve-2015-5477-an-error-in-handling-tkey-queries-can-cause-named-to-exit-with-a-require-assertion-failure/



-- 
// Stephan Richter <richter at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 836 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150729/774c4b45/attachment.sig>

More information about the Warning mailing list