BIND 9.x: Gepatchte Versionen verhindern Denial of Service
Ein fast 20 Jahre alter Programmierfehler im Open-Source-Programmpaket BIND kann bei aktiviertem DNSSEC zum Absturz führen. Gepatchte 9er-Versionen stehen bereit.
(Bild: pixabay.com)
Der DNS-Server BIND enthält einen Bug, der unter bestimmten Voraussetzungen einen Programm-Crash – und in der Konsequenz einen Denial-of-Service (Dos) durch den Server – verursachen kann.
Laut einem Sicherheitshinweis des Internet Systems Consortiums (ISC), das seit BIND-Version 4.9.3 für die Weiterentwicklung des Programmpakets verantwortlich ist, ist nahezu die gesamte, seit 2007 als Standard geltende 9er-Versionsreihe betroffen. Somit blieb der Programmierfehler, der in der Datei netaddr.c steckt, seit der Veröffentlichung von BIND 9.0.0 im September 2000 unbemerkt.
Der Bug kann nur dann zum Programmabsturz führen, wenn für die betreffende Domain die Domain Name System Security Extensions (DNSSEC) aktiviert sind. Dennoch stuft das ISC das von ihm ausgehende Risiko als "hoch" ein. Der Sicherheitshinweis listet alle 9er Versionen auf, bei denen der Crash beobachtet wurde, rät zugleich aber zum vorsorglichen Update aller anderen Versionen.
DoS-Angriff aus der Ferne möglich?
Dem ISC zufolge haben mehrere Personen von Programmabstürzen aufgrund des Bugs berichtet; aktive Exploits durch Angreifer habe man bislang aber nicht beobachtet. Allerdings lässt der Beschreibungstext "Exploitable: Remotely" den Schluss zu, dass das bewusste Herbeiführen der Fehler-Bedingung – und damit eines DoS – aus der Ferne theoretisch möglich ist.
Das ISC hat auf seiner Download-Webseite die gepatchten BIND-9-Versionen 9.9.11-P1, 9.10.6-P1, 9.11.2-P1 und 9.12.0rc2 bereitgestellt. Betroffenen Admins rät es zum Update auf die Version, die der aktuell von ihnen verwendeten am nächsten steht. (ovw)
