[Warning] Kritische Schwachstelle in Nameserversoftware BIND 9
Stephan Richter
richter at cert.at
Wed Jul 29 13:35:58 CEST 2015
29. Juli 2015
Beschreibung
Wie das Internet Systems Consortium (ISC) bekannt gegeben hat[1],
existiert in der weit verbreiteten Nameserver-Software BIND ein
Problem, das zum Absturz des Dienstes "named" führen kann.
Ergänzende Ausführungen finden sich im ISC Blog[2].
CVE Referenz-Nummer:
* CVE-2015-5477
CVSS (laut ISC):
* CVSS2 Score: 7.8
* CVSS2 Vector: (AV:N/AC:L/Au:N/C:N/I:N/A:C)
Details
Ein Angreifer kann mit einer speziell gestalteten TKEY-Abfrage den
Nameserver zum Absturz bringen.
Auswirkungen
Da DNS für die Auflösung von Domain-Namen in IP-Adressen zuständig
ist, kann ein Ausfall eines rekursiven Nameservers für Endbenutzer
bedeuten, dass ihre Internetverbindung nicht mehr "funktioniert".
Es ist bislang nicht bekannt, dass diese Schwachstelle bereits
ausgenutzt wird. Da ein Ausnutzen aber relativ einfach sein dürfte,
ist davon auszugehen, dass dies bald der Fall sein wird.
Betroffene Systeme
Laut ISC sind folgende Versionen betroffen:
* BIND 9.1.0 bis 9.8.x
* BIND 9.9.0 bis 9.9.7-P1
* BIND 9.10.0 bis 9.10.2-P2
Betroffen sind sowohl rekursive, als auch authoritative Nameserver.
Abhilfe
Upgrade auf die zur Verfügung gestellten Versionen 9.9.7-P2 bzw.
9.10.2-P3, oder die etwa von Linux-Distributionen bereitgestellten
speziell gepatchten früheren Versionen (wie zB von Debian).
Es ist *nicht* möglich, dieses Problem durch Zugriffsbeschränkungen
(ACLs bzw. entsprechende Konfigurationsoptionen) zu mitigieren, da
der verwundbare Code ausgeführt wird bevor diese greifen.
Endbenutzer sind hier in üblichen Setups auf ihre Service-Provider
angewiesen.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
ISC Knowledge Base (englisch)
[1]https://kb.isc.org/article/AA-01272
ISC Blog (englisch)
[2]https://www.isc.org/blogs/about-cve-2015-5477-an-error-in-handling-tkey-queries-can-cause-named-to-exit-with-a-require-assertion-failure/
--
// Stephan Richter <richter at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 836 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150729/774c4b45/attachment.sig>
More information about the Warning
mailing list