DoS-Angriffe auf Nameserver BIND möglich
Bestimmte Pakete bringen den Server zum Absturz. Ein Angreifer muss sich zum Ausnutzen der Lücke nicht authentifizieren. Der Hersteller stellt Updates bereit und empfiehlt, diese schnell zu installieren, da bereits ein Exploit kursiert.
- Daniel Bachfeld
Eine Schwachstelle im weit verbreiteten quelloffenen Namenserver BIND9 ermöglicht Angreifern aus der Ferne, den Server zum Absturz zu bringen. Dazu genügt laut Fehlerbericht ein einziges präpariertes "Dynamic Update"-Paket. In der Folge ist keine Auflösung von IP-Adresse zu Server-Adressen mehr möglich. Mit dynamischen Updates können autorisierte Nameserver Resource Records zu einer Zone hinzufügen oder entfernen.
Besonders brisant wird das DoS-Problem, weil sich der Angreifer zum Ausnutzen der Lücke nicht authentifizieren muss und der Server nicht explizit zur Verarbeitung dynamischer Updates konfiguriert sein muss. Allerdings funktioniert der Angriff nach Angaben des Herstellers Internet Systems Consortium (ISC) nur bei solchen Systemen, bei denen BIND als Master für eine Zone eingerichtet ist – in Slave-Zonen soll das Problem nicht auftreten.
Ein Exploit zum Erstellen eines präparierten Paketes ist in dem ursprünglichen Bericht zu dem Fehler zu finden. Das ISC empfiehlt daher, auf die BIND-Version 9.4.3-P3, 9.5.1-P3 oder BIND 9.6.1-P1 upzudaten. Die Hersteller von Linux-Distributionen geben bereits aktualisierte Pakete heraus. Anwender sollte nicht zögern, diese zu installieren.
Siehe dazu auch:
- BIND Dynamic Update DoS von ISC
- ISC BIND 9 vulnerable to denial of service via dynamic update request von US-CERT
(dab)
