Schwerwiegende Lücke besiegelt Ende des DNS-Servers BIND 8
Nach Version 9 fand ein Sicherheitsexperte nun auch in der Version 8 des weit verbreiteten Nameservers eine Schwachstelle im Zufallszahlengenerator. Der Hersteller nutzt die Gelegenheit, das etwa zehn Jahre alte "Software-Relikt" endgültig zu beerdigen.
- Christiane Rütten
Nach der Aufdeckung einer erheblichen Schwachstelle im Zufallszahlengenerator des DNS-Servers BIND 8 hat der Hersteller ISC den Support für Version 8 des weit verbreiteten Nameservers endgültig eingestellt. Wie der Sicherheitsspezialist Amit Klein in einem Paper beschreibt, lassen sich die sogenannten Transaction-IDs von BIND 8 derart genau vorhersagen, dass Angreifer den Cache eines vewundbaren DNS-Servers mit bis zu hundertprozentiger Erfolgswahrscheinlichkeit mit gefälschten IP-Adressen "vergiften" können. Ein solches "Cache Poisioning" spielt in erster Linie Phishern und Pharmern in die Hände, die Internetnutzer damit in Scharen auf gefälschte Webseiten umlenken könnten.
Das ISC stellt zwar einen Patch auf Version 8.4.7-P1 bereit, der die unmittelbaren Probleme mit dem Zufallszahlengenerator beheben soll. Im gleichen Atemzug räumen die Entwickler jedoch ein, dass BIND 8 mit grundlegenden "architekturellen Problemen" zu kämpfen habe. Die Upgrade-Empfehlung an alle Serverbetreiber fällt deutlich aus: "Die möglichen Workarounds sind, den DNS-Dienst abzuschalten oder auf BIND 9 zu aktualisieren."
Inzwischen warnt auch das US-CERT mit einem Advisory vor der Lücke. Da der überwiegende Teil der Betreiber von Nameservern inzwischen auf BIND 9 setzt, dürfte die Auswirkung der Schwachstellen auf das DNS-System und damit auf die Internetnutzer allerdings nur gering sein.
Klein sorgte bereits vor gut einem Monat für einigen Wirbel, als er ein Paper über eine vergleichbare Schwachstelle im Zufallszahlengenerator von BIND 9 veröffentlichte. Dieser funktioniert jedoch grundlegend anders, was dazu führte, dass sich der Fehler in Version 9 lediglich mit zehnprozentiger Wahrscheinlichkeit und unter höherem technischem Aufwand ausnutzen ließ.
Siehe dazu auch:
- BIND 8 DNS Cache Poisoning, Paper von Amit Klein mit den Details zur BIND8-Lücke
- Vulnerability Note VU#927905: BIND version 8 generates cryptographically weak DNS query identifiers, Security-Advisory des US-CERT
- Stellungnahme und Empfehlungen des Herstellers ISC
- Lücke im Bind-Name-Server hat weitreichende Auswirkungen, Meldung auf heise Security
- Exploit für Schwachstelle in Nameserver BIND9 veröffentlicht, Meldung auf heise Security
(cr)
