DNS-Server BIND, PowerDNS und Unbound droht Endlosschleife
Eine Sicherheitslücke in den drei DNS-Servern kann dazu ausgenutzt werden, die Software lahmzulegen. Dazu muss ein Angreifer allerdings die Zonen manipulieren oder einen bösartigen DNS-Resolver einschleusen.
(Bild: David Benbennick, Lizenz Creative Commons CC-BY-SA 3.0)
- Fabian A. Scherschel
Die französische Sicherheitsorganisation Agence nationale de la sécurité des systèmes d'information (ANSSI), die in Frankreich eine ähnliche Aufgabe erfüllt wie hierzulande das BSI, hat eine Sicherheitslücke entdeckt, welche die drei DNS-Server BIND, PowerDNS und Unbound betrifft. Angreifer können die Lücke missbrauchen, um einen DNS-Server in eine Endlosschleife zu verwickeln und ihn somit außer Gefecht setzen – das Ausführen von Schadcode ist allerdings nicht möglich.
Von der Schwachstelle betroffen ist das Delegieren von Subdomains an andere Server. Auf diese Art kann ein für eine Domain (example.com) zuständiger DNS-Server einen anderen Resolver bestimmen, der eine entsprechende Subdomain (sub.example.com) verwaltet. Bind, PowerDNS und Unbound überprüfen dies allerdings nicht auf böswillige Einträge, die zu Schleifen führen und die Software lahmlegen könnten. Ein Angreifer, der die Zonen innerhalb eines Netzes manipulieren kann oder einen bösartigen Server einschleust, kann so die DNS-Infrastruktur lahmlegen. Daniel J. Bernsteins DNS-Resolver djbdns implementiert hingegen einen entsprechenden Check und ist somit nicht anfällig.
Sowohl BIND als auch PowerDNS und Unbound haben Patches für ihre Software herausgegeben, welche die Lücke stopfen. BIND 9 ist ab den Versionen 9.9.6-P1 und 9.10.P1 immun (CVE-2014-8500). PowerDNS hat das Problem bereits im Oktober mit Version 3.6.2 behoben (CVE-204-8601). Unbound ist ab Version 1.5.1 sicher (CVE-2014-8602). (fab)
