zurück zum Artikel

Angreifer könnten DNS-Server bind lahmlegen

Alert! Dirk Knop
Aufmacher bind-Updates gegen DoS-Lücken

(Bild: VideoFlow/Shutterstock.com)

Mehrere Schwachstellen im DNS-Server bind könnten Angreifer missbrauchen, um verwundbare Maschinen lahmzulegen. Aktualisierte Softwarepakete beheben die Fehler.

Angreifer aus dem Netz könnten Systeme mit dem bind-DNS-Server lahmlegen, warnen das Internet Systems Consortium (ISC) sowie die US-amerikanische Cyber-Sicherheitsbehörde CISA. Insbesondere vier Schwachstellen könnten bösartige Akteure missbrauchen, um Speicherressourcen aufzubrauchen und so betroffene Systeme außer Funktion zu setzen.

Problematische Memory-Leaks

Speicherlecks im Code, der den Schlüsseltausch nach Diffie-Hellman mittels TKEY RRs beim Einsatz von OpenSSL 3.0.0 oder neuer vornimmt, könnten zum Aufbrauchen der Ressourcen und in Folge zum Absturz des named-Dienstes führen (CVE-2022-2906, CVSS 7.5, Risiko "hoch"). Zudem können bind-Server, deren Konfiguration Antworten aus dem Stale-Cache vorsehen und dabei die Option stale-answer-client-timeout auf 0 gesetzt haben, mit manipulierten Anfragen zum Absturz gebracht werden (CVE-2022-3080, CVSS 7.5, hoch).

Ein weiteres Speicherleck können Angreifer mit manipulierten ECDSA-Signaturen bei der DNSSEC-Prüfung missbrauchen, um den verfügbaren Speicher aufzubrauchen und einen Absturz des named zu provozieren (CVE-2022-38177, CVSS 7.5, hoch). Dasselbe Problem können präparierte EdDSA-Signaturen in der DNSSEC-Prüfung hervorrufen (CVE-2022-38178, CVSS 7.5, hoch).

Weitere Sicherheitslücken mit geringerem Risiko führt das ISC in einer "Security Vulnerability Matrix" auf [1]. Die gelisteten Schwachstellen beheben die bind-Versionen 9.19.5, 9.18.7 sowie 9.16.33. Administratoren sollten zügig ein Wartungszeitraum zur Aktualisierung einplanen, um die Systemstabilität zu gewährleisten. Erst vor wenigen Monaten haben die bind-Entwickler Sicherheitslücken geschlossen, durch die Angreifer TLS-Sessions zerstören [2] konnten.

(dmk [3])

URL dieses Artikels:
https://www.heise.de/-7274982

Links in diesem Artikel:
[1] https://kb.isc.org/docs/aa-00913
[2] https://www.heise.de/news/Angreifer-koennten-mit-DNS-Software-BIND-erstellte-TLS-Sessions-zerstoeren-7101032.html
[3] mailto:dmk@heise.de

Copyright © 2022 Heise Medien