Sicherheits-Update für Nameserver BIND

Der Hersteller ISC des quelloffenen Nameservers BIND hat Sicherheits-Updates bereitgestellt, die eine Schwachstelle im Zusammenhang mit DNSSEC beseitigen sollen. Laut Bericht übernimmt ein rekursiv arbeitender Nameserver in bestimmten Fällen zusätzliche Informationen aus der Additional Section einer Antwort. Damit könnte ein Angreifer gefälschte Einträge in den Cache eines Nameservers einschleusen, sodass der Server bestimmte Domains mit falschen IP-Adressen auflöst, etwa mit der eines Phishing-Servers. Betroffen sind alle BIND-Versionen von 9.0.x bis 9.6.x.

Der Fehler tritt aber nur auf, wenn ein Client eine rekursive Anfrage stellt und dabei im Header die Flags DNSSec Ok (DO) und Checking Disabled (CD) gesetzt sind. Laut ISC tritt diese Kombination aber im Normalfall nie auf, und es sei kein Client-Resolver (Stub Resolver) bekannt, der solche Anfrage an Nameserver stelle. Immerhin will man aber mindestens eine Implementierung eines anderen DNS-Servers beobachtet haben, bei der diese Flags bei weitergeleiteten Anfragen gleichzeitig gesetzt seien. Üblicherweise ist bei DNSSEC-fähigen Clients nur das "DNSSec Ok"-Flag gesetzt – wie etwa unter Windows 7.

Auch wenn normale Clients derartige Anfragen nicht stellen, so ist es dennoch denkbar, dass etwa ein Schädling mit präparierten Anfragen im Unternehmensnetz auf diese Weise den Nameserver manipulieren könnte. Anwender sollten daher nicht zögern, die Updates 9.4.3-P4, 9.5.2-P1 oder 9.6.1-P2 zu installieren. Darüber hinaus sollten Admins gleich noch prüfen, ob der Server rekursive Anfragen von außen zulässt und diese Möglichkeit unterbinden. Bei nur "authoritativ" arbeitenden Nameservern tritt das Problem ohnehin nicht auf.

Für die Versionen 9.0 bis 9.3 gibt es keine Updates, da es dafür keinen Support mehr gibt. Auch die Beta-Version von BIND 9.7 ist verwundbar. Im kommenden Release 9.7.0b3 soll das Problem gelöst sein.

Siehe dazu auch:

• BIND 9 Cache Update from Additional Section

(dab)