UPDATE: DFN-CERT-2015-1937 ISC BIND9: Zwei Schwachstellen ermöglichen einen Denial-of-Service-Angriff [Linux][Debian][Fedora][RedHat][Unix][FreeBSD][Netzwerk]

UPDATE: DFN-CERT-2015-1937 ISC BIND9: Zwei Schwachstellen ermöglichen einen Denial-of-Service-Angriff [Linux][Debian][Fedora][RedHat][Unix][FreeBSD][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (17.12.2015):
Für Fedora 22 und 23 stehen Sicherheitsupdates in Form der Pakete
bind-dyndb-ldap-7.0-6.fc22, dnsperf-2.0.0.0-19.fc22 und
bind-9.10.3-7.P2.fc22, bzw. bind-dyndb-ldap-8.0-4.fc23,
bind-9.10.3-7.P2.fc23 und dnsperf-2.0.0.0-19.fc23 im Status ‘testing’ zur
Verfügung, um beide Schwachstellen zu beheben, sowie der Pakete
dhcp-4.3.2-6.fc22 und bind99-9.9.8-1.P2.fc22, bzw. dhcp-4.3.3-7.fc23 und
bind99-9.9.8-1.P2.fc23 ebenfalls im Status ‘testing’, um die Schwachstelle
CVE-2015-8000 zu adressieren. F5 Networks informiert darüber, dass seine
Produkte nicht von der Schwachstelle CVE-2015-8461 betroffen sind.
Version 2 (17.12.2015):
Red Hat stellt für Red Hat Enterprise Linux Desktop v.5 Workstation
Client, v.5 Client, v.6 und v.7, Server v.5. v.6, v.7 und EUS v.6.7.z,
HPC Node v.6 und v.7 sowie Workstation v.6 und v.7 Sicherheitsupdates zur
Behebung der Schwachstelle CVE-2015-8000 bereit.
F5 Networks informiert über die Betroffenheit der F5 Produkte und
Versionen von der Schwachstelle CVE-2015-8000. Unter anderem sind alle
Versionen des BIG-IP Protocol Security Modules (11.0.0 – 11.4.1 und 10.1.0
– 10.2.4) verwundbar. Sicherheitsupdates werden von F5 noch nicht
bereitgestellt.
Version 1 (16.12.2015):
Neues Advisory

Betroffene Software:

ISC BIND >= 9.0.x
ISC BIND <= 9.9.8 ISC BIND <= 9.9.8-P1 ISC BIND >= 9.9.8-S1
ISC BIND <= 9.9.8-S2 ISC BIND >= 9.10.0
ISC BIND <= 9.10.3 ISC BIND <= 9.10.3-P1 Betroffene Plattformen: F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.1.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4 F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1 Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 15.04 Canonical Ubuntu Linux 15.10 Debian Linux 7.9 Wheezy Debian Linux 8.2 Jessie FreeBSD <= 9.3-RELEASE-p31 FreeBSD 9.3-STABLE Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 5 Workstation/Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 5 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.7.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 22 Red Hat Fedora 23 Zwei Schwachstellen in BIND in den Versionen 9.0.x bis 9.9.8 und 9.10.0 bis 9.10.3 bzw. in den Versionen 9.9.8 bis 9.9.8-P1, 9.9.8-S1 bis 9.9.8-S2 und 9.10.3 bis 9.10.3-P1 erlauben einem entfernten, nicht authentifizierten Angreifer die Durchführung von Denial-of-Service-Angriffen. Der Hersteller veröffentlicht die Versionen 9.9.8-P2, 9.10.3-P2 und 9.9.8-S3 (letztere nur für ISC Support Kunden) in denen beide Schwachstellen behoben sind. Für die verschiedenen Distributionen wird derzeit die als kritisch eingestufte Schwachstelle CVE-2015-8000 adressiert. FreeBSD stellt Sicherheitsupdates für 9.3-STABLE und in Form des Releases 9.3-RELEASE-p3 bereit. Debian veröffentlicht für die Distributionen Wheezy und Jessie Sicherheitsupdates. Und für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 15.04 und Ubuntu 15.10 werden von Canonical Sicherheitsupdates zur Verfügung gestellt. Patch: Debian Security Advisory DSA-3420-1 https://www.debian.org/security/2015/dsa-3420

Patch:

FreeBSD Security Advisory FreeBSD-SA-15:27.bind

http://www.freebsd.org/security/advisories/FreeBSD-SA-15%3A27.bind.asc

Patch:

ISC Security Advisory ISC-BIND-AA-01317

https://kb.isc.org/article/AA-01317/0

Patch:

ISC Security Advisory ISC-BIND-AA-01319

https://kb.isc.org/article/AA-01319/0

Patch:

Ubuntu Security Notice USN-2837-1

http://www.ubuntu.com/usn/usn-2837-1/

Patch:

F5 Networks Security Advisory sol30673534

http://support.f5.com/kb/en-us/solutions/public/k/30/sol30673534.html?ref=rss

Patch:

Fedora Security Update FEDORA-2015-09bf9e06ea (Fedora 23, Bind 9.10.3)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-09bf9e06ea

Patch:

Fedora Security Update FEDORA-2015-2df40de264 (Fedora 22, Bind 9.10.3)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-2df40de264

Patch:

Fedora Security Update FEDORA-2015-40882ddfb1 (Fedora 23, Bind 9.9.8)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-40882ddfb1

Patch:

Fedora Security Update FEDORA-2015-e278e12ebc (Fedora 22, Bind 9.9.8)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-e278e12ebc

Patch:

Red Hat Security Advisory RHSA-2015:2655

http://rhn.redhat.com/errata/RHSA-2015-2655.html

Patch:

Red Hat Security Advisory RHSA-2015:2656

http://rhn.redhat.com/errata/RHSA-2015-2656.html

Patch:

Red Hat Security Advisory RHSA-2015:2658

http://rhn.redhat.com/errata/RHSA-2015-2658.html

CVE-2015-8461: Denial-of-Service-Schwachstelle in BIND9

Es existiert eine schwer auszunutzende Schwachstelle in BIND9 in den
Versionen 9.9.8 bis 9.9.8-P1, 9.9.8-S1 bis 9.9.8-S2 und 9.10.3 bis
9.10.3-P1. Unter selten zutreffenden Umständen kann es nach dem Auftreten
eines INSIST Zusicherungsfehlers (assertion failure) in resolver.c zu einem
Beenden des Servers kommen.
Ein entfernter, nicht authentifizierter Angreifer kann die Schwachstelle
ausnutzen, um einen Denial-of-Service-Zustand zu bewirken.

CVE-2015-8000: Denial-of-Service-Schwachstelle in BIND9

In den BIND9 Versionen 9.0.x bis 9.9.8 und 9.10.0 bis 9.10.3 existiert ein
Fehler beim Parsen von eingehenden Antworten, der dazu führt, dass einige
Daten mit nicht korrekten Klassen von BIND akzeptiert werden, obwohl sie
eigentlich als fehlgebildet abgelehnt werden müssten. Werden diese Werte
anschließend gecached, so kann das einen REQUIRE Zusicherungsfehler
(assertion failure) in db.c auslösen, wodurch named beendet wird und
Anfragen von Clients abgelehnt werden.

Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
insbesondere gegen rekursive Server ausnutzen, um einen
Denial-of-Service-Zustand zu bewirken. Die Schwachstelle wird vom Hersteller
als kritisch eingestuft.
Das Risiko für autoritative Server ist eingeschränkt, sofern sie eine
Authentifizierung durchführen, wenn sie rekursive Anfragen stellen, um
Adressen für Server, die in NS RRSET gelistet sind, zu ermitteln.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1937/

Debian Security Advisory DSA-3420-1:
https://www.debian.org/security/2015/dsa-3420

FreeBSD Security Advisory FreeBSD-SA-15:27.bind:
http://www.freebsd.org/security/advisories/FreeBSD-SA-15%3A27.bind.asc

ISC Security Advisory ISC-BIND-AA-01317:
https://kb.isc.org/article/AA-01317/0

ISC Security Advisory ISC-BIND-AA-01319:
https://kb.isc.org/article/AA-01319/0

Ubuntu Security Notice USN-2837-1:
http://www.ubuntu.com/usn/usn-2837-1/

Schwachstelle CVE-2015-8000 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8000

Schwachstelle CVE-2015-8461 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8461

F5 Networks Security Advisory sol30673534:
http://support.f5.com/kb/en-us/solutions/public/k/30/sol30673534.html?ref=rss

Fedora Security Update FEDORA-2015-09bf9e06ea (Fedora 23, Bind 9.10.3):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-09bf9e06ea

Fedora Security Update FEDORA-2015-2df40de264 (Fedora 22, Bind 9.10.3):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-2df40de264

Fedora Security Update FEDORA-2015-40882ddfb1 (Fedora 23, Bind 9.9.8):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-40882ddfb1

Fedora Security Update FEDORA-2015-e278e12ebc (Fedora 22, Bind 9.9.8):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-e278e12ebc

Red Hat Security Advisory RHSA-2015:2655:
http://rhn.redhat.com/errata/RHSA-2015-2655.html

Red Hat Security Advisory RHSA-2015:2656:
http://rhn.redhat.com/errata/RHSA-2015-2656.html

Red Hat Security Advisory RHSA-2015:2658:
http://rhn.redhat.com/errata/RHSA-2015-2658.html

F5 Networks Security Advisory sol34250741:
http://support.f5.com/kb/en-us/solutions/public/k/34/sol34250741.html?ref=rss

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben