Schwachstelle in Nameserversoftware BIND 9

13. September 2012 CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie das Internet Software Consortium (ISC) bekannt gegeben hat, existiert in der weit verbreiteten Nameserver-Software BIND ein Problem, das zum Absturz des Dienstes "named" führen kann. Es kann nicht ausgeschlossen werden, dass diese Schwachstelle auch zum Einbruch in den Nameserver genutzt werden kann.

Durch speziell präparierte Resource Records bei welchen RDATA-Felder länger als 65535 Bytes sind, können rekursive BIND-Nameserver zum Absturz gebracht werden. Weiters können auch autoritative Server betroffen sein, wenn eine Zone mit solchen Resource Records geladen wird, zum Beispiel durch übertragen von Zonen-Dateien.

CVE Referenz-Nummer:

  • CVE-2012-4244

Details

Durch manigfaltige Möglichkeiten von "deflection attacks", reicht es nicht, wenn der rekursive Nameserver nach Aussen hin abgeschottet wird. Denn ein Angreifer kann mittels "deflection" über interne Server wiederum den rekursiven Nameserver zum Absturz zu bringen.
Beispiel: der Angreifer schickt eine Mail an den Mailserver, der Mail Header löst eine Anfrage an den rekursiven Nameserver aus und somit kam die Anfrage von innen.

Es gibt zum derzeitigen Wissensstand keine Möglichkeiten der Risikoreduzierung ausser ein Upgrade auf die gepatchte Version.

Auswirkungen

Da DNS für die Auflösung von Domain-Namen in IP-Adressen zuständig ist, kann ein Ausfall eines rekursiven Nameservers für Endbenutzer bedeuten, dass ihre Internetverbindung nicht mehr "funktioniert".

Es gibt schon Berichte, dass diese Schwachstelle zu ungewollten Dienstunterbrechungen geführt hat. Noch gibt es keine Berichte, dass dieser Fehler auch zum Einschleusen und Ausführen von Schadsoftware genutzt wurde.

Betroffene Systeme

Laut ISC sind folgende Versionen betroffen:
  • BIND 9.0.x bis 9.6.x
  • BIND 9.4-ESV bis 9.4-ESV-R5-P1
  • BIND 9.6-ESV bis 9.6-ESV-R7-P2
  • BIND 9.7.0 bis 9.7.6-P2
  • BIND 9.8.0 bis 9.8.3-P2
  • BIND 9.9.0 bis 9.9.1-P2

Abhilfe

Upgrade auf die zur Verfügung gestellte Version 9.7.7, 9.7.6-P3, 9.6-ESV-R8, 9.6-ESV-R7-P3, 9.8.4, 9.8.3-P3, 9.9.2 oder 9.9.1-P3.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates anzeigen zu lassen.

Informationsquelle(n):

ISC Knowledge Base (en)
https://kb.isc.org/article/AA-00778/74