Schwachstelle in DNS-Software BIND 9
24. Februar 2011
Informationsquelle(n):
Meldung des ISC (englisch)
http://www.isc.org/software/bind/advisories/cve-2011-0414
Denial-of-Service möglich mit BIND 9.7 - CERT.at ersucht um Beachtung der folgenden Meldung.
Beschreibung
Wie das Internet Software Consortium (ISC) bekannt gegeben hat, existiert in der verbreiteten Nameserver-Software BIND ein Problem, das für Denial-of-Service (DoS) Attacken ausgenützt werden kann.Konkret besteht nach dem erfolgreichen Abarbeiten von IXFR-Anfragen bzw. dynamischen Updates ein kurzes Zeitfenster in dem ein Deadlock ausgelöst werden kann, wodurch BIND dann bis zu einem Neustart keine Anfragen mehr beantwortet.
Auswirkungen
Da DNS für die Auflösung von Namen in IP-Adressen zuständig ist, ist ein Nicht-Funktionieren dieses Dienstes für Endbenutzer oft von einem Nicht-Funktionieren des Internets an sich oder anderen Problemen nicht zu unterscheiden.Wir erwarten, dass entsprechende Schadsoftware bzw. Proof-of-Concept - Exploits bald in Umlauf gebracht werden.
Betroffene Systeme
Laut ISC sind folgende Versionen betroffen:- BIND 9.7.1-9.7.2-P3
Abhilfe
Upgrade auf die zur Verfügung gestellte Version 9.7.3 oder eine der nicht betroffenen Versionen (siehe http://www.isc.org/software/bind/advisories/cve-2011-0414).Sollte ein Upgrade nicht oder nicht zeitnahn möglich sein, kann auch temporär nur ein einzelner Thread (Option
-n 1) benutzt werden, dies kann allerdings die Performance beeinträchtigen.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Meldung des ISC (englisch)
http://www.isc.org/software/bind/advisories/cve-2011-0414