Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (11.12.2014):
Das FreeBSD Project stellt für die von der Schwachstelle betroffenen
Versionen FreeBSD 8.4, 9.1, 9.2 und 9.3 Sicherheitsupdates bereit.
Version 2 (10.12.2014):
Canonical stellt für die Distributionen Ubuntu 10.04 LTS, Ubuntu 12.04
LTS, Ubuntu 14.04 LTS und Ubuntu 14.10 Sicherheitsupdates bereit.
Version 1 (09.12.2014):
Neues Advisory

Betroffene Software:

ISC BIND < 9.9.6 P1 ISC BIND < 9.10.1 P1 Betroffene Plattformen: Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Debian Linux 7.7 Wheezy FreeBSD < 8.4-RELEASE-p20 FreeBSD <= 8.4-STABLE FreeBSD < 9.1-RELEASE-p23 FreeBSD < 9.2-RELEASE-p16 FreeBSD < 9.3-RELEASE-p6 FreeBSD <= 9.3-STABLE Eine Schwachstelle in BIND ermöglicht einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Zustand zu bewirken. Die Schwachstelle wird mit einem Update auf Version 9.9.6-P1 oder 9.10.1-P1 behoben. Das Update auf Version 9.10.1-P1 behebt weitere Schwachstellen (siehe CVE-2014-8680), die auf der Einführung von GeoIP in der Version 9.10 beruhen. Für die Distribution Debian Wheezy steht ein Sicherheitsupdate auf eine korrigierte BIND Version 9.8.4 zur Verfügung. Patch: Debian Security Advisory DSA-3094-1 https://www.debian.org/security/2014/dsa-3094

Patch:

ISC Security Advisory AA-01216

https://kb.isc.org/article/AA-01216

Patch:

ISC Security Advisory AA-01217

https://kb.isc.org/article/AA-01217

Patch:

Ubuntu Security Notice USN-2437-1

http://www.ubuntu.com/usn/usn-2437-1/

Patch:

FreeBSD Security Advisory FreeBSD-SA-14%3A29.bind

http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A29.bind.asc

CVE-2014-8680: Schwachstelle in GeoIP in BIND ermöglicht Denial-of-Service

Im GeoIP Feature, welches in BIND 9.10 eingefügt wurde, existieren mehrere
Schwachstellen. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstellen nutzen, um einen Crash von BIND und damit einen
Denial-of-Sevice-Zustand zu bewirken.

CVE-2014-8500: Schwachstelle in BIND 9 ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in BIND 9 bezüglich der Delegierung im Domain Name
Service führt dazu, dass durch eine manipulierte Zonenkonstruktion oder
einen schadhaften Server BIND dazu gebracht wird, unendlich viele Anfragen
zu stellen, um der Delegation zu folgen. Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1615/

Debian Security Advisory DSA-3094-1:
https://www.debian.org/security/2014/dsa-3094

ISC Security Advisory AA-01216:
https://kb.isc.org/article/AA-01216

ISC Security Advisory AA-01217:
https://kb.isc.org/article/AA-01217

Schwachstelle CVE-2014-8500 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8500

Schwachstelle CVE-2014-8680 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8680

Ubuntu Security Notice USN-2437-1:
http://www.ubuntu.com/usn/usn-2437-1/

FreeBSD Security Advisory FreeBSD-SA-14%3A29.bind:
http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A29.bind.asc

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.