DNS-Software BIND: Neue Version schließt mehrere Schwachstellen
Die BIND-Versionen 9.11.7, 9.14.2 und aktualisierte BIND-Packages für Linux sind gegen zwei potenzielle Denial-of-Service-Angriffspunkte abgesichert.
Das Internet Systems Consortium (ISC) hat neue Versionen des Open-Source-DNS-Programmpakets BIND veröffentlicht. Sie umfassen auch Security Fixes gegen zwei Sicherheitslücken, vor denen das CERT des BSI (CERT-Bund) in einem Sicherheitshinweis warnt.
Laut CERT-Bund könnten entfernte, anonyme Angreifer die Lücken mit den Kennungen CVE-2018-5743 und CVE-2019-6467 für Denial-of-Service-Angriffe missbrauchen. Das Sicherheitsrisiko sei hoch.
CVE-2018-5743 betrifft die BIND-Versionsreihen 9.11.x (Versionen vor 9.11.7) und 9.14.x (Versionen vor 9.14.2). Letztere krankt zusätzlich auch noch an der zweiten Lücke CVE-2019-6467.
Neue Releases und Packages für Linux
Die neuen, abgesicherten Versionen stehen auf der Webseite des ISC zum Download bereit. Weitere Details sind den Release-Notes zu Version 9.11.7 beziehungsweise 9.14.2 zu entnehmen.
Linux-User sollten Ausschau nach aktualisierten bind/bind9-Packages und Sicherheitshinweisen für ihre Distribution halten. Die gibt es mittlerweile unter anderem für Debian (CVE-2018-5743 / CVE-2019-6467), Red Hat (CVE-2018-5743 / CVE-2019-6467), SUSE (CVE-2018-5743 / CVE-2019-6467) und Ubuntu (CVE-2018-5743 / CVE-2019-6467). (ovw)