[Warning] Schwachstelle in Nameserversoftware BIND 9

Matthias Fraidl fraidl at cert.at
Thu Sep 13 13:01:56 CEST 2012 

13. September 2012

CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie das Internet Software Consortium (ISC) bekannt gegeben hat[1],
existiert in der weit verbreiteten [3]Nameserver-Software BIND ein
Problem, das zum Absturz des Dienstes "named" führen kann. Es kann nicht
ausgeschlossen werden, dass diese Schwachstelle auch zum Einbruch in den
Nameserver genutzt werden kann.

Durch speziell präparierte Resource Records bei welchen RDATA-Felder
länger als 65535 Bytes sind, können rekursive BIND-Nameserver zum
Absturz gebracht werden. Weiters können auch autoritative Server
betroffen sein, wenn eine Zone mit solchen Resource Records geladen
wird, zum Beispiel durch übertragen von Zonen-Dateien.

CVE Referenz-Nummer:
     * CVE-2012-4244

Details

Durch manigfaltige Möglichkeiten von "deflection attacks", reicht es
nicht, wenn der rekursive Nameserver nach Aussen hin abgeschottet wird.
Denn ein Angreifer kann mittels "deflection" über interne Server
wiederum den rekursiven Nameserver zum Absturz zu bringen.
Beispiel: der Angreifer schickt eine Mail an den Mailserver, der Mail
Header löst eine Anfrage an den rekursiven Nameserver aus und somit kam
die Anfrage von innen.

Es gibt zum derzeitigen Wissensstand keine Möglichkeiten der
Risikoreduzierung ausser ein Upgrade auf die gepatchte Version.

Auswirkungen

Da DNS für die Auflösung von Domain-Namen in IP-Adressen zuständig ist,
kann ein Ausfall eines rekursiven Nameservers für Endbenutzer bedeuten,
dass ihre Internetverbindung nicht mehr "funktioniert".

Es gibt schon Berichte, dass diese Schwachstelle zu ungewollten
Dienstunterbrechungen geführt hat. Noch gibt es keine Berichte, dass
dieser Fehler auch zum Einschleusen und Ausführen von Schadsoftware
genutzt wurde.

Betroffene Systeme

   Laut ISC sind folgende Versionen betroffen:
     * BIND 9.0.x bis 9.6.x
     * BIND 9.4-ESV bis 9.4-ESV-R5-P1
     * BIND 9.6-ESV bis 9.6-ESV-R7-P2
     * BIND 9.7.0 bis 9.7.6-P2
     * BIND 9.8.0 bis 9.8.3-P2
     * BIND 9.9.0 bis 9.9.1-P2

Abhilfe

   Upgrade auf die zur Verfügung gestellte Version 9.7.7, 9.7.6-P3,
   9.6-ESV-R8, 9.6-ESV-R7-P3, 9.8.4, 9.8.3-P3, 9.9.2 oder 9.9.1-P3.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, und auch auf Servern sich
automatisch die verfügbaren Updates anzeigen zu lassen.
     __________________________________________________________________

References

   1. https://kb.isc.org/article/AA-00778/74

-- 
// CERT Austria - Matthias Fraidl <fraidl at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der NIC.at Internet Verwaltungs- und Betriebs GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 897 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20120913/0bb5a2d6/attachment.sig>

More information about the Warning mailing list