[Warning] Schwachstelle in Nameserversoftware BIND 9

Robert Waldner waldner at cert.at
Wed Jul 8 07:33:46 CEST 2015


8. Juli 2015

Beschreibung

   Wie das Internet Software Consortium (ISC, http://www.isc.org/)
   bekannt gegeben hat (https://kb.isc.org/article/AA-01267), existiert
   in der weit verbreiteten Nameserver-Software BIND ein Problem, das
   zum Absturz des Dienstes "named" führen kann.

   CVE Referenz-Nummer:
     * CVE-2015-4620

   CVSS (laut ISC):
     * CVSS2 Score: 7.8
     * CVSS2 Vector: (AV:N/AC:L/Au:N/C:N/I:N/A:C)

https://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=%28AV:N/AC:L/Au:N/C:N/I:N/A:C%29

Details

   Ein Angreifer, der einen Nameserver mit aktivierter DNSSEC-
   Validierung dazu bringen kann, eine Zone mit speziellem Inhalt
   abzufragen, kann den Nameserver zum Absturz bringen.

Auswirkungen

   Da DNS auch für die Auflösung von Domain-Namen in IP-Adressen
   zuständig ist, kann ein Ausfall eines rekursiven Nameservers für
   Endbenutzer bedeuten, dass ihre Internetverbindung nicht mehr
   "funktioniert".

   Es ist bislang nicht bekannt, dass diese Schwachstelle bereits
   ausgenutzt wird. Da ein Ausnutzen aber relativ einfach ist, ist davon
   auszugehen, dass bald spezielle Zonen von "Spassvögeln" eingerichtet
   werden, und Nameserver dazu gebracht werden, diese Zonen abzufragen.
   Nameserver-Betreiber sollten also möglichst rasch reagieren.

Betroffene Systeme

   Laut ISC sind folgende Versionen betroffen:
     * BIND 9.7.1 bis 9.7.7
     * BIND 9.8.0 bis 9.8.8
     * BIND 9.9.0 bis 9.9.7
     * BIND 9.10.0 bis 9.10.2-P1

Abhilfe

   Upgrade auf die zur Verfügung gestellten Versionen 9.9.7-P1 bzw.
   9.10.2-P2, oder die etwa von Linux-Distributionen bereitgestellten
   speziell gepatchten früheren Versionen (wie zB von Debian,
   https://www.debian.org/security/2015/dsa-3304).

   Es ist auch möglich, dieses Problem temporär zu mitigieren, indem
   DNSSEC-Validierung mittels der Konfigurations-Option
   'dnssec-validation' deaktiviert wird.

   Endbenutzer sind hier in üblichen Setups auf ihre Service-Provider
   angewiesen.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   * ISC Knowledge Base (englisch)
     https://kb.isc.org/article/AA-01267


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150708/0383c366/attachment.sig>


More information about the Warning mailing list