UPDATE: DFN-CERT-2016-0427 ISC BIND: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][Debian][Fedora][Unix][FreeBSD][Netzwerk]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (14.03.2016):
Für Fedora 22, 23 und 24 stehen Sicherheitsupdates für die Pakete ‘bind’
in Version 9.10.3 und ‘bind99’ in Version 9.9.8 im Status ‘testing’ oder
‘stable’ zur Verfügung. Die Sicherheitsupdates für ‘bind99’ adressieren
die Schwachstelle CVE-2016-2088 nicht.
Version 1 (10.03.2016):
Neues Advisory

Betroffene Software:

ISC BIND >= 9.0.0
ISC BIND <= 9.8.8 ISC BIND >= 9.9.0
ISC BIND <= 9.9.8 P3 ISC BIND >= 9.10.0
ISC BIND <= 9.10.3 P3 ISC BIND Supported Preview Edition >= 9.9.8-S1
ISC BIND Supported Preview Edition <= 9.9.8-S5 Betroffene Plattformen: F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.1.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4 F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1 Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 15.10 Debian Linux 7.9 Wheezy Debian Linux 8.3 Jessie Debian Linux 9.0 Stretch FreeBSD < 9.3-RELEASE-p38 FreeBSD 9.3-STABLE Red Hat Fedora 22 Red Hat Fedora 23 Red Hat Fedora 24 Mehrere Schwachstellen in ISC BIND9 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Durchführen verschiedener Denial-of-Service (DoS)-Angriffe. ISC stellt Sicherheitsupdates in Form der fehlerbereinigten BIND 9 Versionen 9.9.8-P4 und 9.10.3-P4 sowie der BIND 9 Supported Preview Edition Version 9.9.8-S6 zur Verfügung. Debian bestätigt, dass die Debian Linux Distributionen Wheezy (oldstable), Jessie (stable) und Stretch (testing) von den Schwachstellen CVE-2016-1285 und CVE-2016-1286 betroffen sind, stellt derzeit aber nur Sicherheitsupdates für Wheezy und Jessie bereit. Ein Sicherheitsupdate für Stretch soll in Kürze folgen. F5 Networks informiert über die Schwachstellen und darüber, welche Produkte und Versionen von ihnen betroffen sind. Das BIG-IP Protocol Security Module (PSM) in den Versionen 10.1.0 - 10.2.4 und 11.0.0 - 11.4.1 ist ausschließlich von der Schwachstelle CVE-2016-1286 betroffen. Es stehen derzeit keine Sicherheitsupdates zur Verfügung, F5 Networks gibt aber bekannt, dass der verwundbare Programmcode in der Standardkonfiguration nicht verwendet wird. Das FreeBSD Project informiert darüber, dass die FreeBSD 9.x Versionen von den Schwachstellen CVE-2016-1285 und CVE-2016-1286 betroffen sind und veröffentlicht Sicherheitsupdates für 9.3-STABLE und die korrigierte Version 9.3-RELEASE-p38. Ubuntu stellt Sicherheitsupdates für Ubuntu 15.10, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS bereit und adressiert damit ebenfalls die Schwachstellen CVE-2016-1285 und CVE-2016-1286. Patch: Debian Security Advisory DSA-3511-1 https://www.debian.org/security/2016/dsa-3511

Patch:

FreeBSD Security Advisory FreeBSD-SA-16:13.bind.asc

https://www.freebsd.org/security/advisories/FreeBSD-SA-16:13.bind.asc

Patch:

ISC Security Advisory ISC-BIND-AA-01351

https://kb.isc.org/article/AA-01351/0

Patch:

ISC Security Advisory ISC-BIND-AA-01352

https://kb.isc.org/article/AA-01352/0

Patch:

ISC Security Advisory ISC-BIND-AA-01353

https://kb.isc.org/article/AA-01353/0

Patch:

Ubuntu Security Notice USN-2925-1

http://www.ubuntu.com/usn/usn-2925-1/

Patch:

Fedora Security Update FEDORA-2016-161b73fc2c (Fedora 22, bind99)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-161b73fc2c

Patch:

Fedora Security Update FEDORA-2016-364c0a9df4 (Fedora 22)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-364c0a9df4

Patch:

Fedora Security Update FEDORA-2016-5047abe4a9 (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-5047abe4a9

Patch:

Fedora Security Update FEDORA-2016-75f31fbb0a (Fedora 24)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-75f31fbb0a

Patch:

Fedora Security Update FEDORA-2016-b593e84223 (Fedora 23, bind99)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-b593e84223

Patch:

Fedora Security Update FEDORA-2016-dce6dbe6a8 (Fedora 24, bind99)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-dce6dbe6a8

CVE-2016-2088: Schwachstelle in BIND9 ermöglicht Denial-of-Service-Angriff

Es existiert eine Schwachstelle in der vorläufigen Unterstützung von
DNS-Cookies in BIND9 ab Version 9.10 aufgrund eines Fehlers in der
Implementierung. Ist diese Unterstützung bei einem DNS-Server aktiviert, ist
ein Angreifer in der Lage, mit einem bewusst falsch konstruierten Paket mit
mehr als einem Cookie, einen INSIST Assertion Fehler in ‘named’ zu
verursachen und den Dienst dadurch zum Absturz bringen. Ein entfernter,
nicht authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.

CVE-2016-1286: Schwachstelle in BIND9 ermöglicht Denial-of-Service-Angriff

Aufgrund eines Fehlers beim Parsen von Resource Record (RR)-Signaturen für
DNAME-Records mit spezifischen Eigenschaften kann es zu einem Assertion
Fehler in resolver.c oder db.c in ISC BIND 9.x bevor 9.9.8-P4 und 9.10.x
bevor 9.10.3-P4 kommen. Dies führt zum Beenden des ‘named’-Dienstes, wodurch
der DNS-Dienst in einen Denial-of-Service-Zustand gerät. Ein entfernter,
nicht authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.

CVE-2016-1285: Schwachstelle in BIND9 ermöglicht Denial-of-Service-Angriff

Es existiert eine Denial-of-Service-Schwachstelle in ISC BIND 9.x bevor
9.9.8-P4 und 9.10.x bevor 9.10.3-P4 aufgrund der nicht ordnungsgemäßen
Behandlung von Eingaben im Control Channel (rndc). Dadurch ist es möglich
den Dienst ‘named’ mit einem bösartig präparierten Datenpaket, welches einen
Assertion Fehler in sexpr.c oder alist.c auslöst, zum Absturz zu bringen. Um
die Schwachstelle erfolgreich ausnutzen zu können, muss das Datenpaket von
einem Gerät gesendet werden, dessen IP-Adresse in der Adressliste im
“controls”-Statement in named.conf eingetragen ist. Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0427/

Debian Security Advisory DSA-3511-1:
https://www.debian.org/security/2016/dsa-3511

FreeBSD Security Advisory FreeBSD-SA-16:13.bind.asc:
https://www.freebsd.org/security/advisories/FreeBSD-SA-16:13.bind.asc

ISC Security Advisory ISC-BIND-AA-01351:
https://kb.isc.org/article/AA-01351/0

ISC Security Advisory ISC-BIND-AA-01352:
https://kb.isc.org/article/AA-01352/0

ISC Security Advisory ISC-BIND-AA-01353:
https://kb.isc.org/article/AA-01353/0

Ubuntu Security Notice USN-2925-1:
http://www.ubuntu.com/usn/usn-2925-1/

F5 Networks Security Advisory sol62012529:
http://support.f5.com/kb/en-us/solutions/public/k/62/sol62012529.html?ref=rss

Schwachstelle CVE-2016-1285 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1285

Schwachstelle CVE-2016-1286 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1286

Schwachstelle CVE-2016-2088 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2088

Fedora Security Update FEDORA-2016-161b73fc2c (Fedora 22, bind99):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-161b73fc2c

Fedora Security Update FEDORA-2016-364c0a9df4 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-364c0a9df4

Fedora Security Update FEDORA-2016-5047abe4a9 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-5047abe4a9

Fedora Security Update FEDORA-2016-75f31fbb0a (Fedora 24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-75f31fbb0a

Fedora Security Update FEDORA-2016-b593e84223 (Fedora 23, bind99):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-b593e84223

Fedora Security Update FEDORA-2016-dce6dbe6a8 (Fedora 24, bind99):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-dce6dbe6a8

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.