Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 6 (18.03.2016):
F5 Networks stellt für verschiedene Produkte Sicherheitsupdates bereit.
Unter anderem wird die Schwachstelle für BIG-IP Protocol Security Module
(PSM) mit den Programmversionen 11.2.1 HF 15 und 11.4.1 HF10 behoben.
Version 5 (28.07.2015):
F5 Networks informiert darüber, dass die neueren BIG-IP Produktversionen,
auch das Protocol Security Module von Version 11.0.0 bis einschließlich
11.4.1 den verwundbaren Code enthalten. F5 Networks erklärt aber
weiterhin, dass die Default-Konfiguration des Systems eine Ausnutzung der
Schwachstelle nicht ermöglicht. Eine Ausnutzbarkeit ist erst gegeben, wenn
die entsprechenden Produkte manuell so konfiguriert werden, dass
Rekursionen erlaubt sind und Domain Name System Security Extension
(DNSSEC) Validierungen durchgeführt werden.
Version 4 (23.07.2015):
Für Red Hat Enterprise Linux 6 Desktop, HPC Node, Server und Workstation
stehen Sicherheitsupdates zur Verfügung.
Version 3 (21.07.2015):
Red Hat stellt für verschiedene Red Hat Enterprise Linux 7 Varianten
Sicherheitsupdates bereit.
Version 2 (14.07.2015):
Für die Distributionen Fedora 21 und Fedora 22 stehen Sicherheitsupdates
im Status ‘testing’ zur Verfügung. Für Fedora 21 wird die Schwachstelle
über das Paket bind-9.9.6-9.P1.fc21 behoben und für Fedora 22 über das
Paket bind-9.10.2-3.P2.fc22, welches eine Aktualisierung auf die
korrigierte BIND Version 9.10.2-P2 darstellt.
Version 1 (08.07.2015):
Neues Advisory
Betroffene Software:
ISC BIND <= 9.7.7
ISC BIND <= 9.8.8
ISC BIND <= 9.9.7
ISC BIND <= 9.10.2-P1
Betroffene Plattformen:
F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Canonical Ubuntu Linux 15.04
Debian Linux 7.8 Wheezy
Debian Linux 8.1 Jessie
FreeBSD <= 8.4-RELEASE-p32
FreeBSD 8.4-STABLE
FreeBSD <= 9.3-RELEASE-p18
FreeBSD 9.3-STABLE
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 22
Eine Schwachstelle in BIND ermöglicht einem entfernten, nicht
authentifizierten Angreifer, einen BIND DNS Server in einen
Denial-of-Service Zustand zu versetzen. Voraussetzung dafür ist, dass im
BIND DNS Server die DNSSEC Validierung eingestellt ist.
Canonical stellt für seine Linux-Distributionen Ubuntu 15.04, 14.10, 14.04
LTS und 12.04 LTS Backport-Sicherheitsupdates bereit. Debian behebt die
Schwachstelle ebenfalls durch Backport-Sicherheitsupdates für Debian 7.8
(Wheezy) und 8.1 (Jessie). Auch für FreeBSD 8.4 und FreeBSD 9.3 sind bereits
Sicherheitsupdates verfügbar.
Patch:
Debian Security Advisory DSA-3304-1
https://www.debian.org/security/2015/dsa-3304
Patch:
FreeBSD Security Advisory FreeBSD-SA-15:11.bind
http://www.freebsd.org/security/advisories/FreeBSD-SA-15%3A11.bind.asc
Patch:
ISC Security Advisory ISC-BIND-AA-01267
https://kb.isc.org/article/AA-01267/0
Patch:
Ubuntu Security Notice USN-2669-1
http://www.ubuntu.com/usn/usn-2669-1/
Patch:
Fedora Security Update FEDORA-2015-11483
https://admin.fedoraproject.org/updates/FEDORA-2015-11483/bind-9.10.2-3.P2.fc22
Patch:
Fedora Security Update FEDORA-2015-11484
https://admin.fedoraproject.org/updates/FEDORA-2015-11484/bind-9.9.6-9.P1.fc21
Patch:
Red Hat Security Advisory RHSA-2015:1443
http://rhn.redhat.com/errata/RHSA-2015-1443.html
Patch:
Red Hat Security Advisory RHSA-2015:1471
http://rhn.redhat.com/errata/RHSA-2015-1471.html
Patch:
F5 Networks Security Advisory sol16912
http://support.f5.com/kb/en-us/solutions/public/16000/900/sol16912.html?ref=rss
CVE-2015-4620: Denial-of-Service-Schwachstelle in BIND
Eine Schwachstelle in BIND ermöglicht einem entfernten, nicht
authentifizierten Angreifer Denial-of-Service-Zustände auszulösen. BIND
verarbeitet bestimmte DNS-Zonendaten inkorrekt, wenn DNSSEC-Validierung für
BIND vorkonfiguriert wurde. Ein Angreifer kann mit manipulierten Zonendaten
in einer rekursiven DNS-Anfrage BIND zum Absturz bringen, was zu einem
Denial-of-Service-Zustand führt.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0995/
Debian Security Advisory DSA-3304-1:
https://www.debian.org/security/2015/dsa-3304
FreeBSD Security Advisory FreeBSD-SA-15:11.bind:
http://www.freebsd.org/security/advisories/FreeBSD-SA-15%3A11.bind.asc
ISC Security Advisory ISC-BIND-AA-01267:
https://kb.isc.org/article/AA-01267/0
Ubuntu Security Notice USN-2669-1:
http://www.ubuntu.com/usn/usn-2669-1/
Schwachstelle CVE-2015-4620 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4620
Fedora Security Update FEDORA-2015-11483:
https://admin.fedoraproject.org/updates/FEDORA-2015-11483/bind-9.10.2-3.P2.fc22
Fedora Security Update FEDORA-2015-11484:
https://admin.fedoraproject.org/updates/FEDORA-2015-11484/bind-9.9.6-9.P1.fc21
Red Hat Security Advisory RHSA-2015:1443:
http://rhn.redhat.com/errata/RHSA-2015-1443.html
Red Hat Security Advisory RHSA-2015:1471:
http://rhn.redhat.com/errata/RHSA-2015-1471.html
F5 Networks Security Advisory sol16912:
http://support.f5.com/kb/en-us/solutions/public/16000/900/sol16912.html?ref=rss
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
