[Warning] Schwachstelle in Nameserversoftware BIND 9
Robert Waldner
waldner at cert.at
Wed Jul 8 07:33:46 CEST 2015
8. Juli 2015
Beschreibung
Wie das Internet Software Consortium (ISC, http://www.isc.org/)
bekannt gegeben hat (https://kb.isc.org/article/AA-01267), existiert
in der weit verbreiteten Nameserver-Software BIND ein Problem, das
zum Absturz des Dienstes "named" führen kann.
CVE Referenz-Nummer:
* CVE-2015-4620
CVSS (laut ISC):
* CVSS2 Score: 7.8
* CVSS2 Vector: (AV:N/AC:L/Au:N/C:N/I:N/A:C)
https://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=%28AV:N/AC:L/Au:N/C:N/I:N/A:C%29
Details
Ein Angreifer, der einen Nameserver mit aktivierter DNSSEC-
Validierung dazu bringen kann, eine Zone mit speziellem Inhalt
abzufragen, kann den Nameserver zum Absturz bringen.
Auswirkungen
Da DNS auch für die Auflösung von Domain-Namen in IP-Adressen
zuständig ist, kann ein Ausfall eines rekursiven Nameservers für
Endbenutzer bedeuten, dass ihre Internetverbindung nicht mehr
"funktioniert".
Es ist bislang nicht bekannt, dass diese Schwachstelle bereits
ausgenutzt wird. Da ein Ausnutzen aber relativ einfach ist, ist davon
auszugehen, dass bald spezielle Zonen von "Spassvögeln" eingerichtet
werden, und Nameserver dazu gebracht werden, diese Zonen abzufragen.
Nameserver-Betreiber sollten also möglichst rasch reagieren.
Betroffene Systeme
Laut ISC sind folgende Versionen betroffen:
* BIND 9.7.1 bis 9.7.7
* BIND 9.8.0 bis 9.8.8
* BIND 9.9.0 bis 9.9.7
* BIND 9.10.0 bis 9.10.2-P1
Abhilfe
Upgrade auf die zur Verfügung gestellten Versionen 9.9.7-P1 bzw.
9.10.2-P2, oder die etwa von Linux-Distributionen bereitgestellten
speziell gepatchten früheren Versionen (wie zB von Debian,
https://www.debian.org/security/2015/dsa-3304).
Es ist auch möglich, dieses Problem temporär zu mitigieren, indem
DNSSEC-Validierung mittels der Konfigurations-Option
'dnssec-validation' deaktiviert wird.
Endbenutzer sind hier in üblichen Setups auf ihre Service-Provider
angewiesen.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
* ISC Knowledge Base (englisch)
https://kb.isc.org/article/AA-01267
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150708/0383c366/attachment.sig>
More information about the Warning
mailing list