UPDATE: DFN-CERT-2017-0237 ISC BIND: Eine Schwachstellen ermöglicht einen Denial-of-Service-Angriff [Linux]

UPDATE: DFN-CERT-2017-0237 ISC BIND: Eine Schwachstellen ermöglicht einen Denial-of-Service-Angriff [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (10.02.2017):
Das Internet Systems Consortium informiert in einer Aktualisierung des
referenzierten Sicherheitshinweises darüber, dass ISC BIND 9.8.8 ebenfalls
von der Schwachstelle betroffen ist. Für den Versionszweig 9.8.x werden
keine Sicherheitsupdates mehr zur Verfügung gestellt (End-of-Life
September 2014).
Version 1 (09.02.2017):
Neues Advisory

Betroffene Software:

ISC BIND 9.8.8
ISC BIND >= 9.9.3
ISC BIND <= 9.9.9-P5 ISC BIND 9.9.10b1 ISC BIND >= 9.10.0
ISC BIND <= 9.10.4-P5 ISC BIND 9.10.5b1 ISC BIND >= 9.11.0
ISC BIND <= 9.11.0-P2 ISC BIND 9.11.1b1 ISC BIND Supported Preview Edition >= 9.9.3-S1
ISC BIND Supported Preview Edition <= 9.9.9-S7 Betroffene Plattformen: GNU/Linux Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in ISC BIND Servern, welche per Konfiguration sowohl Response Policy Zones (RPZ) als auch DNS64 (als Methode AAAA Records aus A Records zu synthetisieren) unterstützen, dazu ausnutzen, einen Denial-of-Service (DoS)-Angriff gegen den Prozess 'named' durchzuführen. Dadurch werden Anfragen von Klienten nicht weiter bearbeitet. Das Internet Systems Consortium (ISC) informiert über die Schwachstellen und veröffentlicht die neuen Programmversionen BIND 9.9.9-P6, 9.10.4-P6, 9.11.0-P3 und 9.9.9-S8 (letztere nur für ISC Support Kunden), in denen die Schwachstellen behoben sind. Workaround: Die Schwachstelle kann durch Deaktivierung von DNS64 oder RPZ umgangen werden, bis das Sicherheitsupdate eingespielt werden kann. Patch: ISC BIND Security Advisory ISC-BIND-AA-01453 (CVE-2017-3135) https://kb.isc.org/article/AA-01453/0

CVE-2017-3135: Schwachstelle in BIND ermöglicht Denial-of-Service-Angriff

Wenn die Konfiguration eines Servers die gleichzeitige Verwendung der
DNS-Erweiterung DNS64 (‘Extensions for Network Address Translation from IPv6
Clients to IPv4 Servers’, RFC 6147) zur IPv6/IPv4-Übersetzung, als auch RPZ
(Domain Name Service Response Policy Zones) unterstützt, kann die
Verarbeitung von Anfragen (Queries) zu einem inkonsistenten Status führen,
wodurch es entweder zu einem INSIST Zusicherungsfehler (Assertion Failure)
und nachfolgendem Abbruch oder zu dem Versuch, durch einen NULL-Zeiger zu
lesen (NULL Pointer Read) kommen kann, infolgedessen auf den meisten
Systemen eine Schutzverletzung (Segmentation Fault, SEGFAULT) ausgelöst
wird; in beiden genannten Fällen wird der Prozess infolgedessen hart
beendet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0237/

ISC BIND Security Advisory ISC-BIND-AA-01453 (CVE-2017-3135):
https://kb.isc.org/article/AA-01453/0

Schwachstelle CVE-2017-3135 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3135

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben