Kritischer Fehler in BIND-9-Versionen
Ein kritischer Programmfehler in BIND 9 erlaubt Angreifern eine massive Speicherauslastung zu erzwingen. Der Fehler betrifft die Verarbeitung von regulären Ausdrücken und kann via Fernzugriff ausgelöst werden.
- Olaf Göllner
Über einen böswilligen regulären Ausdruck können Angreifer eine Denial-of-Service-Attacke gegen einen BIND-Server starten. Zudem können Hacker auch andere Programme auf derselben physischen Maschine durch den besagten Fehler kompromittieren. Der kritische Programmfehler betrifft BIND-9-Versionen unter UNIX-Systemen und erlaubt Angreifern eine massive Speicherauslastung des named-Dienstes oder von Programmen mit Verknüpfung zur libdns-Bibliothek.
Windows-Versionen sind davon nicht betroffen, ebenso Versionen von BIND 10. Fehlerbereinigte Versionen sollten möglichst schnell eingespielt werden, weitere Details sind als CVE-2013-2266-Meldung einsehbar. Die Sicherheits-Updates sind unter BIND 9.9.2-P2 und 9.8.4-P2 zu finden. Der Versionszweig 9.7 wird nicht länger gewartet und hat den Status "End of Life" (EOL).
Anwendungen welche die libdns-Bibliothek einer betroffenen BIND-Version nutzen, sind ebenfalls potenziell Verwundbar, sofern eine Eingabe den Fehler auslösen kann. Solche Programme sollten ebenfalls aktualisiert werden. Ein möglicher Workaround ist das erneute Compilieren der betreffenden Versionen mit ausgeschalteter RegEx-Unterstützung. Betroffen sind die Versionen: BIND 9.7.x, BIND 9.8 (9.8.0 bis 9.8.5b1) und BIND 9.9 (9.9.0 bis 9.9.3b1). (ogo)
