UPDATE: DFN-CERT-2017-1144 ISC BIND: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

UPDATE: DFN-CERT-2017-1144 ISC BIND: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (04.07.2017):
Für Fedora 25 und 26 stehen Sicherheitsupdates auf die aktuell von ISC
unterstützte Version 9.9.10-P2 von BIND im Status ‘testing’ bzw. ‘pending’
bereit. Gleichzeitig wird ‘dhcp’ aktualisiert.
Version 1 (03.07.2017):
Neues Advisory

Betroffene Software:

ISC BIND < 9.9.10-P2 ISC BIND < 9.10.5-P2 Betroffene Plattformen: Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Mehrere Schwachstellen in ISC BIND ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, die Manipulation von Daten und einen Denial-of-Service-Angriff. Für Fedora 24 und 25 stehen Sicherheitsupdates auf die aktuell von ISC unterstützte Version 9.10.5-P2 von BIND im Status 'testing' zur Verfügung. Gleichzeitig werden 'bind-dyndb-ldap' und 'dnsperf' aktualisiert. Patch: Fedora Security Update FEDORA-2017-001f135337 (Fedora 24, bind-9.10.5-2.P2.fc24) https://bodhi.fedoraproject.org/updates/FEDORA-2017-001f135337

Patch:

Fedora Security Update FEDORA-2017-d04f7ddd73 (Fedora 25,
bind-9.10.5-2.P2.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-d04f7ddd73

Patch:

Fedora Security Update FEDORA-2017-167cfa7b09 (Fedora 25,
bind99-9.9.10-1.P2.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-167cfa7b09

Patch:

Fedora Security Update FEDORA-2017-87f1f8c798 (Fedora 26,
bind99-9.9.10-1.P2.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-87f1f8c798

CVE-2017-3143: Schwachstelle in BIND9 ermöglicht Umgehen von
Sicherheitsvorkehrungen und Manipulation von Daten

Ein Fehler in der TSIG (Transaction SIGnature)-Authentifizierung in BIND9
ermöglicht einem Angreifer, der in der Lage ist Nachrichten an einen
autoritativen DNS-Server zu senden beziehungsweise von diesem zu empfangen
und zusätzlich einen gültigen TSIG-Schlüsselnamen für die anvisierte Zone
und den Service kennt, die TSIG-Authentifizierung zu umgehen und BIND zu
manipulieren, wodurch nicht autorisierte dynamische Updates akzeptiert
werden. Über diese Technik können bösartige Zoneninhalte injiziert werden,
die es einem Angreifer dann ermöglichen weitere Angriffe durchzuführen. Ein
entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen und Daten manipulieren.

CVE-2017-3142: Schwachstelle in BIND9 ermöglicht Umgehen von
Sicherheitsvorkehrungen und Ausspähen von Informationen

Ein Fehler in der TSIG (Transaction SIGnature)-Authentifizierung in BIND9
ermöglicht einem Angreifer, der in der Lage ist Nachrichten an einen
autoritativen DNS-Server zu senden beziehungsweise von diesem zu empfangen
und zusätzlich einen gültigen TSIG-Schlüsselnamen kennt, die
TSIG-Authentifizierung für Zonentransfer (AXFR, Asynchronous Full Transfer
Zone)-Anfragen mit einer speziell präparierten Anfrage zu umgehen. Dies
ermöglicht es dem Angreifer einen Zonentransfer für einen nicht
autorisierten Empfänger bereitzustellen und darüber Informationen über die
Zone auszuspähen sowie gefälschte NOTIFY-Pakete zu versenden, wodurch ein
Zonentransfer von einem bösartigen Server ausgelöst werden kann. Ein
entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen und darüber weiteren Einfluss auf ein System ausüben.

CVE-2017-3140: Schwachstelle in BIND9 ermöglicht Denial-of-Service-Angriff

Ist der ‘named’-Daemon für die Verwendung von Response Policy Zones (RPZ)
konfiguriert, kann ein auftretender Fehler bei der Verarbeitung bestimmter
Regeltypen zu einem Zustand führen, in welchem BIND in eine Endlosschleife
gerät. Die Verwundbarkeit ist dann gegeben, wenn ein Server neben Response
Policy Zones ebenfalls NSDNAME- oder NSIP-Richtlinienregeln nutzt und es
einem Angreifer gelingt eine spezifische Anfrage zu verarbeiten. Ein
entfernter, nicht authentisierter Angreifer kann einen Denial-of-Service
(DoS)-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1144/

Schwachstelle CVE-2017-3140 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3140

Schwachstelle CVE-2017-3142 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3142

Schwachstelle CVE-2017-3143 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3143

Fedora Security Update FEDORA-2017-001f135337 (Fedora 24,
bind-9.10.5-2.P2.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-001f135337

Fedora Security Update FEDORA-2017-d04f7ddd73 (Fedora 25,
bind-9.10.5-2.P2.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-d04f7ddd73

Fedora Security Update FEDORA-2017-167cfa7b09 (Fedora 25,
bind99-9.9.10-1.P2.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-167cfa7b09

Fedora Security Update FEDORA-2017-87f1f8c798 (Fedora 26,
bind99-9.9.10-1.P2.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-87f1f8c798

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben