Schwachstelle in Nameserversoftware BIND 9

8. Juli 2015

Beschreibung

Wie das Internet Software Consortium (ISC) bekannt gegeben hat, existiert in der weit verbreiteten Nameserver-Software BIND ein Problem, das zum Absturz des Dienstes "named" führen kann.

CVE Referenz-Nummer:

  • CVE-2015-4620

CVSS (laut ISC):

Details

Ein Angreifer, der einen Nameserver mit aktivierter DNSSEC-Validierung dazu bringen kann, eine Zone mit speziellem Inhalt abzufragen, kann den Nameserver zum Absturz bringen.

Auswirkungen

Da DNS auch für die Auflösung von Domain-Namen in IP-Adressen zuständig ist, kann ein Ausfall eines rekursiven Nameservers für Endbenutzer bedeuten, dass ihre Internetverbindung nicht mehr "funktioniert".

Es ist bislang nicht bekannt, dass diese Schwachstelle bereits ausgenutzt wird. Da ein Ausnutzen aber relativ einfach ist, ist davon auszugehen, dass bald spezielle Zonen von "Spassvögeln" eingerichtet werden, und Nameserver dazu gebracht werden, diese Zonen abzufragen.
Nameserver-Betreiber sollten also möglichst rasch reagieren.

Betroffene Systeme

Laut ISC sind folgende Versionen betroffen:
  • BIND 9.7.1 bis 9.7.7
  • BIND 9.8.0 bis 9.8.8
  • BIND 9.9.0 bis 9.9.7
  • BIND 9.10.0 bis 9.10.2-P1

Abhilfe

Upgrade auf die zur Verfügung gestellten Versionen 9.9.7-P1 bzw. 9.10.2-P2, oder die etwa von Linux-Distributionen bereitgestellten speziell gepatchten früheren Versionen (wie zB von Debian).

Es ist auch möglich, dieses Problem temporär zu mitigieren, indem DNSSEC-Validierung mittels der Konfigurations-Option 

dnssec-validation
deaktiviert wird.

Endbenutzer sind hier in üblichen Setups auf ihre Service-Provider angewiesen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

ISC Knowledge Base (englisch)
https://kb.isc.org/article/AA-01267