[Warning] Schwachstelle in DNS-Software BIND 9

Robert Waldner waldner at cert.at
Thu Feb 24 08:14:05 CET 2011 

24. Februar 2011

   Denial-of-Service möglich mit BIND 9.7 - CERT.at ersucht um Beachtung
   der folgenden Meldung.

Beschreibung

   Wie das Internet Software Consortium (ISC) bekannt gegeben hat[1],
   existiert in der verbreiteten Nameserver-Software BIND ein Problem,
   das für Denial-of-Service (DoS) Attacken ausgenützt werden kann.

   Konkret besteht nach dem erfolgreichen Abarbeiten von IXFR-Anfragen
   bzw. dynamischen Updates ein kurzes Zeitfenster in dem ein Deadlock
   ausgelöst werden kann, wodurch BIND dann bis zu einem Neustart keine
   Anfragen mehr beantwortet.

Auswirkungen

   Da DNS für die Auflösung von Namen in IP-Adressen zuständig ist, ist
   ein Nicht-Funktionieren dieses Dienstes für Endbenutzer oft von einem
   Nicht-Funktionieren des Internets an sich oder anderen Problemen
   nicht zu unterscheiden.

   Wir erwarten, dass entsprechende Schadsoftware bzw. Proof-of-Concept
   - Exploits bald in Umlauf gebracht werden.

Betroffene Systeme

   Laut ISC sind folgende Versionen betroffen:
     * BIND 9.7.1-9.7.2-P3

   Versionen 9.4.x, 9.6.x und 9.8.x sind nicht von diesem Problem
   betroffen.

Abhilfe

   Upgrade auf die zur Verfügung gestellte Version 9.7.3 oder eine der
   nicht betroffenen Versionen (siehe [1]).

   Sollte ein Upgrade nicht oder nicht zeitnahn möglich sein, kann auch
   temporär nur ein einzelner Thread (Option -n 1) benutzt werden, dies
   kann allerdings die Performance beeinträchtigen.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Meldung des ISC (englisch)
   [1] http://www.isc.org/software/bind/advisories/cve-2011-0414

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 254 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20110224/9d31c643/attachment.sig>

More information about the Warning mailing list