zurück zum Artikel

Die Schwachstelle lässt sich zwar prinzipiell aus der Ferne ausnutzen. Der Server muss jedoch Response Policy Zones unterstützen, damit sich der Fehler provozieren lässt.

Der Hersteller ISC hat das Update 9.8.0-P1 [1] für seinen DNS-Server BIND veröffentlicht, um eine potenzielle DoS-Schwachstelle zu beseitigen. Signierte Server-Antworten (RRSIG) können unter bestimmten Umständen einen BIND-Server zum Absturz bringen. Der Fall kann laut [2] ISC jedoch nur eintreten, wenn der verwundbare Server sogenannte Response Policy Zones (RPZ) unterstützt.

Mit RPZ soll sich definieren [3] lassen, welche Domain-Namen nicht aufgelöst werden sollen. Welche das genau sind, lässt sich beispielsweise über eine Reputationsdatenbank definieren. RPZ soll den täglich tausendfach registrierten Spam- und Malware-Domains entgegenwirken und wurde erstmals in BIND 9.8.0 implementiert.

Die DoS-Schwachstelle wurde nach Angaben von ISC bislang noch nicht für echte Angriffe verwendet. Das Unternehmen habe jedoch einige DNSSEC-Validators beobachtet, die die verursachenden Antworten an BIND-Server senden und damit ungewollt den Absturz auslösen.

(dab [4])

URL dieses Artikels:
https://www.heise.de/-1238845

Links in diesem Artikel:
[1] https://www.isc.org/software/bind
[2] https://www.isc.org/CVE-2011-1907
[3] http://www.isc.org/community/blog/201007/taking-back-dns-0
[4] mailto:dab@ct.de

Copyright © 2011 Heise Medien