Open Source im professionellen Einsatz

BIND: Denial-of-Service-Attacke möglich

Eine Sicherheitslücke im BIND-Server hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacke gegen den Dienst ausführen kann.

Die Schwachstelle tritt beim Auswerten von regulären Ausdrücken innerhalb des BIND-Codes auf. Ein entfernter Angreifer kann diese Lücke durch eine spezielle DNS-Anfrage auslösen und damit den named-Prozess dazu bringen, sehr viel Speicher auf dem System zu verbrauchen.

Betroffen sind die Versionen 9.6.x und 10.x.

ISC weißt in dem Advisory darauf hin, dass für BIND-Versionen älter als Version 9.7 keine Patches mehr bereitgestellt werden. Trotzdem lassen sich die betroffenen 9.6.xer-Versionen mit Hilfe eines Workaround fixen. Dieser schlägt vor, den fehlerhaften Support von regulären Ausdrücken einfach zu deaktivieren. Hierzu muss man nach dem Ausführen des configure-Skriptes die config.h manuell bearbeiten, um

#define HAVE_REGEX_H 1

durch

#undef HAVE_REGEX_H

zu ersetzen. Damit wird dann BIND ohne Unterstützung von regulären Ausdrücken übersetzt, und die Attacke ist nicht mehr möglich.

Ausgabe 08/2014

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.

Insecurity Bulletin

Insecurity Bulletin

Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...

Linux-Magazin auf Facebook