DFN-CERT-2017-0054 ISC BIND: Mehrere Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe [Linux][RedHat][SuSE]

DFN-CERT-2017-0054 ISC BIND: Mehrere Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe [Linux][RedHat][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

ISC BIND >= 9.4.0
ISC BIND <= 9.6-ESV-R11-W1 ISC BIND >= 9.8.5
ISC BIND <= 9.8.8 ISC BIND >= 9.9.3
ISC BIND <= 9.9.9-P4 ISC BIND >= 9.10.0
ISC BIND <= 9.10.4-P4 ISC BIND >= 9.11.0
ISC BIND <= 9.11.0-P1 ISC BIND Supported Preview Edition >= 9.9.8-S1
ISC BIND Supported Preview Edition <= 9.9.8-S3 ISC BIND Supported Preview Edition >= 9.9.9-S1
ISC BIND Supported Preview Edition <= 9.9.9-S6 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 SUSE Linux Enterprise Software Development Kit 12 SP1 SUSE Linux Enterprise Software Development Kit 12 SP2 SUSE Manager 2.1 SUSE Manager Proxy 2.1 SUSE OpenStack Cloud 5 SUSE Linux Enterprise Desktop 12 SP1 SUSE Linux Enterprise Desktop 12 SP2 SUSE Linux Enterprise Server 11 SP2 LTSS SUSE Linux Enterprise Server 11 SP3 LTSS SUSE Linux Enterprise Server 11 SP4 SUSE Linux Enterprise Server 12 LTSS SUSE Linux Enterprise Server for SAP 12 SUSE Linux Enterprise Server 12 SP1 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi Mehrere Schwachstellen in ISC BIND ermöglichen es einem entfernten, nicht authentifizierten Angreifer mit Hilfe speziell präparierter Antworten an betroffene Server auf diesen Zusicherungsfehler auszulösen, die den Server selbst oder 'named' zum Anhalten bringen können. Dadurch werden Anfragen von Klienten nicht weiter bearbeitet. Das Internet Systems Consortium (ISC) informiert über die Schwachstellen und veröffentlicht die Programmversionen 9.9.9-P5, 9.10.4-P5, 9.11.0-P2 und 9.9.9-S7 (letztere nur für ISC Support Kunden), in denen die Schwachstellen behoben sind. Die Schwachstelle CVE-2016-9778 betrifft nur bestimmte Versionen von ISC BIND auf Servern, die NXDOMAIN Antworten für eine Zone, für die sie auch autoritative Dienste leisten, über die Funktionalität 'nxdomain-redirect' weiterleiten. Für die SUSE Linux Enterprise Produkte Server, Desktop und Software Development Kit in verschiedenen Versionen, für SUSE Linux Enterprise Debuginfo 11 SP4, SUSE Linux Enterprise Server for Raspberry Pi SP 2 und SUSE Linux Enterprise Server for SAP 12 sowie für die Produkte SUSE OpenStack Cloud 5, SUSE Manager Proxy 2.1 und SUSE Manager 2.1 stehen Sicherheitsupdates für 'bind' bereit, welche die Schwachstellen mit Ausnahme von CVE-2016-9778 beheben. Patch: ISC BIND Security Advisory ISC-BIND-AA-01439 (CVE-2016-9131) https://kb.isc.org/article/AA-01439/0

Patch:

ISC BIND Security Advisory ISC-BIND-AA-01440 (CVE-2016-9147)

https://kb.isc.org/article/AA-01440/0

Patch:

ISC BIND Security Advisory ISC-BIND-AA-01441 (CVE-2016-9444)

https://kb.isc.org/article/AA-01441/0

Patch:

ISC BIND Security Advisory ISC-BIND-AA-01442 (CVE-2016-9778)

https://kb.isc.org/article/AA-01442/0

Patch:

SUSE Security Update SUSE-SU-2017:0111-1

http://lists.suse.com/pipermail/sle-security-updates/2017-January/002554.html

Patch:

SUSE Security Update SUSE-SU-2017:0112-1

http://lists.suse.com/pipermail/sle-security-updates/2017-January/002555.html

Patch:

SUSE Security Update SUSE-SU-2017:0113-1

http://lists.suse.com/pipermail/sle-security-updates/2017-January/002556.html

CVE-2016-9778: Schwachstelle in BIND ermöglicht Denial-of-Service-Angriff

Durch einen Fehler bei der Verarbeitung bestimmter Anfragen kann ein
Zusicherungsfehler (Assertion Failure) ausgelöst werden, wenn ein Server die
Funktionalität ‘nxdomain-redirect’ verwendet, um eine Zone abzudecken, für
die dieser auch autoritative Dienste liefert. Die Funktionalität
‘nxdomain-redirect’ ist eine von zwei Möglichkeiten für
NXDOMAIN-Weiterleitungen und nur in bestimmten Versionen von BIND
enthalten. Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe
einer speziell präparierten Antwort den betroffenen Server durch einen
REQUIRE-Zusicherungsfehler in ‘db.c’ anhalten. Rein rekursive Server sind
von der Schwachstelle nicht betroffen.

CVE-2016-9444: Schwachstelle in BIND ermöglicht Denial-of-Service-Angriff

Eine speziell präparierte Antwort, die einen Eintrag für den Delegation
Signer enthält (DS Resource Record), kann einen Zusicherungsfehler auslösen.
Ein entfernter, nicht authentifizierter Angreifer kann dadurch einen
Denial-of-Service-Angriff durchführen, in dessen Folge die Ausführung von
‘named’ beendet wird, so dass Anfragen von Klientensystemen nicht mehr
bearbeitet werden. Autoritative Server sind von der Schwachstelle nicht in
vollem Umfang betroffen.

CVE-2016-9147: Schwachstelle in BIND ermöglicht Denial-of-Service-Angriff

In Antworten von autoritativen Servern, in denen Domain Name System Security
Extensions (DNSSEC) aktiviert sind, an rekursive Server werden RRSIGs
(Signed RRsets) und weitere RRsets erwartet. Falls solche Antworten RRsets
im DNSSEC-Kontext enthalten, die inkosistent zu anderen RRsets in der
gleichen Anwort sind, wird ein Zusicherungsfehler (Assertion Failure)
ausgelöst. Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe
einer speziell präparierten Antwort einen Zusicherungsfehler auslösen, in
dessen Folge die Ausführung von ‘named’ beendet wird, so dass Anfragen von
Klientensystemen nicht mehr bearbeitet werden. Autoritative Server sind von
der Schwachstelle nicht in vollem Umfang betroffen.

CVE-2016-9131: Schwachstelle in BIND ermöglicht Denial-of-Service-Angriff

Eine speziell präparierte Antwort auf eine Anfrage beliebigen Typs (RTYPE
ANY) an einen rekursiven Server kann einen Zusicherungsfehler (Assertion
Failure) auslösen, wenn ‘named’ versucht, Ressourcen-Einträge (Ressource
Records, RR) in der Antwort auf die Anfrage dem Zwischenspeicher
hinzuzufügen. Ein entfernter, nicht authentifizierter Angreifer kann einen
Denial-of-Service-Angriff ausführen, indem er ein Szenario schafft, in dem
eine ‘ANY’-Anfrage für einen ‘Query Domain Name’ (QNAME) an einen rekursiven
Server gesendet wird. Dadurch wird der Zusicherungsfehler ausgelöst und in
der Folge die Ausführung von ‘named’ beendet, so dass Anfragen von
Klientensystemen nicht mehr bearbeitet werden. Autoritative Server sind von
der Schwachstelle nicht in vollem Umfang betroffen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0054/

ISC BIND Security Advisory ISC-BIND-AA-01439 (CVE-2016-9131):
https://kb.isc.org/article/AA-01439/0

ISC BIND Security Advisory ISC-BIND-AA-01440 (CVE-2016-9147):
https://kb.isc.org/article/AA-01440/0

ISC BIND Security Advisory ISC-BIND-AA-01441 (CVE-2016-9444):
https://kb.isc.org/article/AA-01441/0

ISC BIND Security Advisory ISC-BIND-AA-01442 (CVE-2016-9778):
https://kb.isc.org/article/AA-01442/0

SUSE Security Update SUSE-SU-2017:0111-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-January/002554.html

SUSE Security Update SUSE-SU-2017:0112-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-January/002555.html

SUSE Security Update SUSE-SU-2017:0113-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-January/002556.html

Schwachstelle CVE-2016-9131 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9131

Schwachstelle CVE-2016-9147 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9147

Schwachstelle CVE-2016-9444 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9444

Schwachstelle CVE-2016-9778 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9778

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben