Sicherheitsupdate BIND: Angreifer könnten DNS-Server mit Anfragen überfluten
Die Entwickler haben in der DNS-Software auf Open-Source-Basis BIND drei DoS-Lücken geschlossen.
Kommt auf Servern BIND zur Namensauflösung im Domain Name System (DNS) zum Einsatz, sollten Admins das Programmpaket zeitnah auf den aktuellen Stand bringen. Angreifer könnten in BIND 9 und BIND Preview Edition an drei Schwachstellen ansetzen und Systeme attackieren.
Alle drei Sicherheitslücken (CVE-2022-3094 [1], CVE-2022-3736 [2], CVE-2022-3924 [3]) sind mit dem Bedrohungsgrad "hoch" eingestuft. In allen Fällen sollen DoS-Attacken aus der Ferne möglich sein. So könnten Angreifer etwa Server mit DNS-Update-Nachrichten fluten, um Server in die Knie zu zwingen.
Die Entwickler geben an, bislang keine Attacken auf die Schwachstellen beobachtet zu haben. Admins sollten eine der abgesicherten Versionen installieren:
- 9.16.37
- 9.18.11
- 9.19.9
- BIND Preview Edition 9.16.37-S1
(des [4])
URL dieses Artikels:
https://www.heise.de/-7471773
Links in diesem Artikel:
[1] https://kb.isc.org/docs/cve-2022-3094
[2] https://kb.isc.org/docs/cve-2022-3736
[3] https://kb.isc.org/docs/cve-2022-3924
[4] mailto:des@heise.de
Copyright © 2023 Heise Medien