Open Source im professionellen Einsatz

ISC Bind 9: Denial of Service

Bind ist der verbreitetste Open-Source DNS-Server, weshalb Sicherheitslücken darin besonders kritisch zu bewerten sind. Schließlich treffen sie mit dem Domain Name System eine zentrale Komponente des Internet betreffen.

In einem Advisory wies der Hersteller ISC kürzlich daraufhin, dass Bind 9 einen Programmierfehler enthält, der Denial-of-Service-Attacken gegen Nameserver ermöglicht.

Die Schwachstelle lässt sich durch spezielle DNS-Records ausnutzen. Das Problem tritt auf, wenn solche Records RDATA-Felder (Resource Data) mit Länge Null enthalten. Diese werden von Bind-DNS-Servern nicht korrekt verarbeitet. Wie genau der Server auf solche DNS-Pakete reagiert, hängt von der Art des Servers ab. Ein rekursiver Nameserver kann durch die Attacke zum Absturz gebracht werden. Allerdings ist es auch möglich, durch den Angriff an sensitive Informationen des Servers zu gelangen, weil unberechtigt Speicherbereiche ausgelesen werden können.

Handelt es sich um einen Secondary Nameserver, so muss der Angreifer eine Zonendatei übertragen, die den präparierten DNS-Eintrag enthält. Hiermit kann er dann auch solche Server zum Absturz und Neustart bringen. Primary Nameserver können ebenfalls zum Opfer werden. Hier kann der Angreifer Zonendateien modifizieren, falls die Option "auto-dnssec" auf "maintain" gesetzt ist.

Die Versionsnummer eines Bind-Servers lässt sich leicht mit dem Tool "dig" ermitteln:

dig -t txt -c chaos VERSION.BIND @SERVER

Administratoren, die diese Information nicht öffentlich preisgeben wollen sollten folgende Zeilen zur Konfigurationsdatei hinzufügen:

options {
[...]
version "[SECURED]";
};

Betroffen sind die Bind-Versionen 9.0.x bis 9.6.x, 9.4-ESV bis 9.4-ESV-R5-P1, 9.6-ESV bis 9.6-ESV-R7, 9.7.0 bis 9.7.6, 9.8.0 bis 9.8.3 sowie 9.9.0 bis 9.9.1.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.