Eine neue, schwerwiegende DOS-Schwachstelle betrifft die BIND-DNS Anwendung, aktualisieren sie jetzt!

Eine neue, schwerwiegende Denial-of-Service (DoS) Schwachstelle wurde diese Woche vom Internet Systems Consortium (ISC) in der BIND-DNS Anwendung geschlossen.

Eine neue, schwerwiegende Denial-of-Service (DoS) Schwachstelle wurde diese Woche vom Internet Systems Consortium (ISC) in der BIND-DNS Anwendung geschlossen.

Eine schwerwiegende Denial-of-Service (DoS) Schwachstelle, verfolgt als CVE-2017-3135, wurde diese Woche von dem Internet Systems Consortium (ISC) in der BIND-DNS Anwendung geschlossen.

Die Schwachstelle in der BIND-DNS Anwendung wurde von Ramesh Damodaran und Aliaksandr Shubnik von Infoblox gemeldet.

Die DoS-Schwachstelle betrifft BIND 9.8.8, alle 9.9 Veröffentlichungen seit 9.9.3, alle 9.10 Veröffentlichungen und alle 9.11 Versionen.

Die Schwachstelle wurde mit den Veröffentlichungen von Version 9.9.9-P6, 9.10.4-P6 und 9.11.0-P3 geschlossen.

Die Schwachstelle, eingestuft mit „hohen Sicherheitsrisiken“ (CVSS-Bewertung von 7.5), ist lediglich ausnutzbar, falls gewisse Serverkonfigurationen getroffen wurden.

„Einige Konfigurationen welche DNS64 und RPZ verwenden, können zu einem „INSIST assertion failure“ oder „NULL pointer read“ führen; in beiden genannten Fällen wird der Prozess beendet.“ laut der Veröffentlichung von ISC.

„Unter bestimmten Bedingungen, wenn DNS64 und RPZ (Response Policy Zones) gleichzeitig verwendet werden, um Antworten umzuschreiben, kann die Auftragsverarbeitung in einem inkonsistenten Zustand weiter geführt werden und entweder zu einem „INSIST assertion failure“ oder einem „attempt to read through a NULL pointer“ führen“

Lediglich Server, welche DNS64 und RPZ gleichzeitig verwenden sind potenziell angreifbar.

„Wenn diese Bedingungen erfüllt sind, wird es zu entweder einem „INSIST assertion failure“ (und anschließenden Abbruch) oder einem „attempt to read through a NULL pointer“ kommen. Auf den meisten Plattformen führt ein „Null-Pointer-Read“ zu einem Segmentierungsfehler (SEGFAULT), welcher den Prozess beendet“ fügte ISC hinzu.

Das Gutachten empfiehlt jede angreifbare Installation auf dem neusten Stand zu bringen. Alternative Maßnahmen umfassen z.B. das Entfernen von DNS64 oder RPZ von der Konfiguration oder den Inhalt der Policy-Zone zu beschränken.

Im Januar 2017 hatte das Internet Systems Consortium (ICS) Updates veröffentlicht, um vier hochkritische Lücken in der DNS-Anwendung BIND zu beseitigen. Die Lücken könnten bei einem entfernten Angreifer ausgenutzt werden, um ein DoS-Zustand hervorzurufen.

Ein Angreifer kann die Schwachstellen ausnutzen, sodass der BIND Name-Server-Prozess auf einem  „assertion failure“ stößt und abbricht.

Mit freundlicher Genehmigung aus dem englischen Original von Pierluigi Paganini