Sicherheitslöcher in Nameserver BIND
In BIND, der populären Implementierung des Domain Name System (DNS), wurden zwei Schwachstellen entdeckt, mit der Angreifer den Server zum Absturz bringen können.
In BIND, der populären Implementierung des Domain Name System (DNS), wurden zwei Schwachstellen entdeckt, mit der Angreifer den Server zum Absturz bringen können. Der Ausfall eines Nameservers führt in der Regel dazu, dass Systeme aufgrund fehlender Adressauflösung nicht mehr erreichbar sind -- sowohl im LAN als auch im Internet.
Der erste Fehler findet sich in den Versionen 8.4.4 und 8.4.5 in einer Funktion zur Zwischenspeicherung bereits bekannter Nameserver und Adressen (q_usedns). Bestimmte Pakete können einen Buffer Overflow provozieren, in der Folge stürzt der Nameserver-Daemon ab. Nähere Angaben gibt es zu dem Fehler nicht. Der Hersteller Internet Systems Consortium (ISC) hat die Version 8.4.6 zur Verfügung gestellt, die die Sicherheitslücke nicht mehr enthält, ein Patch wird ebenso angeboten. Als Workaround empfiehlt ISC Rekursion und Glue Fetching zu deaktivieren. Das US-CERT führt in einer Vulnerabilitiy Note eine Liste der betroffenen Hersteller. Das Problem ist bislang nur für ISC und Debian bestätigt. Nicht verwundbar sind unter anderem Red Hat und Sun, die meisten anderen Hersteller prüfen derzeit noch.
Die zweite Sicherheitslücke betrifft BIND in Version 9.3.0. Der Fehler liegt in einer Validierungsfunktion (authvalidated), die BIND seit der Implementierung von DNS-Sicherheitsfunktionen (DNS Security Extension) benutzt. Schickt ein Angreifer manipulierte Pakete an den Server, so steigt dieser aus. Die verwundbare Funktion ist standardmäßig allerdings abgeschaltet. Auch hierzu hat das US-CERT eine Vulnerability Note herausgegeben. In Version 9.3.1 ist der Fehler behoben, das ISC gibt auf Anfrage auch einen Patch heraus.
Siehe dazu auch: (dab)
