Update für BIND-Server beseitigt DoS-Schwachstelle
Die Schwachstelle lässt sich zwar prinzipiell aus der Ferne ausnutzen. Der Server muss jedoch Response Policy Zones unterstützen, damit sich der Fehler provozieren lässt.
- Daniel Bachfeld
Der Hersteller ISC hat das Update 9.8.0-P1 für seinen DNS-Server BIND veröffentlicht, um eine potenzielle DoS-Schwachstelle zu beseitigen. Signierte Server-Antworten (RRSIG) können unter bestimmten Umständen einen BIND-Server zum Absturz bringen. Der Fall kann laut ISC jedoch nur eintreten, wenn der verwundbare Server sogenannte Response Policy Zones (RPZ) unterstützt.
Mit RPZ soll sich definieren lassen, welche Domain-Namen nicht aufgelöst werden sollen. Welche das genau sind, lässt sich beispielsweise über eine Reputationsdatenbank definieren. RPZ soll den täglich tausendfach registrierten Spam- und Malware-Domains entgegenwirken und wurde erstmals in BIND 9.8.0 implementiert.
Die DoS-Schwachstelle wurde nach Angaben von ISC bislang noch nicht für echte Angriffe verwendet. Das Unternehmen habe jedoch einige DNSSEC-Validators beobachtet, die die verursachenden Antworten an BIND-Server senden und damit ungewollt den Absturz auslösen.
(dab)