Kritische Schwachstelle in Nameserversoftware BIND 9

29. Juli 2015

Beschreibung

Wie das Internet Systems Consortium (ISC) bekannt gegeben hat, existiert in der weit verbreiteten Nameserver-Software BIND ein Problem, das zum Absturz des Dienstes "named" führen kann.
Ergänzende Ausführungen finden sich im ISC Blog.

CVE Referenz-Nummer:

CVSS (laut ISC):

Details

Ein Angreifer kann mit einer speziell gestalteten TKEY-Abfrage den Nameserver zum Absturz bringen.

Auswirkungen

Da DNS für die Auflösung von Domain-Namen in IP-Adressen zuständig ist, kann ein Ausfall eines rekursiven Nameservers für Endbenutzer bedeuten, dass ihre Internetverbindung nicht mehr "funktioniert".

Es ist bislang nicht bekannt, dass diese Schwachstelle bereits ausgenutzt wird. Da ein Ausnutzen aber relativ einfach sein dürfte, ist davon auszugehen, dass dies bald der Fall sein wird.

Betroffene Systeme

Laut ISC sind folgende Versionen betroffen:
  • BIND 9.1.0 bis 9.8.x
  • BIND 9.9.0 bis 9.9.7-P1
  • BIND 9.10.0 bis 9.10.2-P2
Betroffen sind sowohl rekursive, als auch authoritative Nameserver.

Abhilfe

Upgrade auf die zur Verfügung gestellten Versionen 9.9.7-P2 bzw. 9.10.2-P3, oder die etwa von Linux-Distributionen bereitgestellten speziell gepatchten früheren Versionen (wie zB von Debian).

Es ist nicht möglich, dieses Problem durch Zugriffsbeschränkungen (ACLs bzw. entsprechende Konfigurationsoptionen) zu mitigieren, da der verwundbare Code ausgeführt wird bevor diese greifen.

Endbenutzer sind hier in üblichen Setups auf ihre Service-Provider angewiesen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

ISC Knowledge Base (englisch)
https://kb.isc.org/article/AA-01272
ISC Blog (englisch)
https://www.isc.org/blogs/about-cve-2015-5477-an-error-in-handling-tkey-queries-can-cause-named-to-exit-with-a-require-assertion-failure/