UPDATE: DFN-CERT-2018-0105 ISC BIND: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2018-0105 ISC BIND: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (22.01.2018):
Für Fedora 26 und 27 stehen die Pakete ‘bind-9.11.2-1.P1.fc26’,
‘bind-dyndb-ldap-11.1-6.fc26’, ‘dnsperf-2.1.0.0-8.fc26’ sowie
‘bind-9.11.2-1.P1.fc27’, ‘bind-dyndb-ldap-11.1-8.fc27’ und
‘dnsperf-2.1.0.0-11.fc27’ als Sicherheitsupdates im Status ‘testing’
bereit.
Version 1 (17.01.2018):
Neues Advisory

Betroffene Software:

ISC BIND < 9.9.11-P1 ISC BIND < 9.10.6-P1 ISC BIND < 9.11.2-P1 ISC BIND Supported Preview Edition < 9.9.11-S2 ISC BIND Supported Preview Edition < 9.10.6-S2 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 LTS (ESM) Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.10 Debian Linux 8.10 Jessie Debian Linux 9.3 Stretch Red Hat Fedora 26 Red Hat Fedora 27 Eine Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffes und dadurch Kontrolle über die Verfügbarkeit des DNS-Servers. Hierdurch schränkt der Angreifer auch für andere Benutzer, welche diesen DNS-Server verwenden, die Verfügbarkeit von Webseiten ein, da URLs nicht mehr in eine korrespondierende IP-Adresse übersetzt werden können und somit diese Webseiten nicht erreichbar sind. ISC stellt die BIND Versionen 9.9.11-P1, 9.10.6-P1 und 9.11.2-P1 sowie die Supported Preview Edition Versionen 9.9.11-S2 und 9.10.6-S2 als Sicherheitsupdates zur Behebung der Schwachstelle zur Verfügung. Debian stellt Backport-Sicherheitsupdates für die Distributionen Jessie (oldstable) 8.10 und Stretch (stable) 9.3 zur Behebung der Schwachstelle bereit. Canonical stellt für die Distributionen Ubuntu 17.10, Ubuntu 16.04 LTS, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS (ESM) ebenfalls Backport-Sicherheitsupdates bereit. Patch: Debian Security Advisory DSA-4089-1 https://www.debian.org/security/2018/dsa-4089

Patch:

ISC BIND Release 9.10.6-P1

https://kb.isc.org/article/AA-01548/81/BIND-9.10.6-P1-Release-Notes.html

Patch:

ISC BIND Release 9.11.2-P1

https://kb.isc.org/article/AA-01550/81/BIND-9.11.2-P1-Release-Notes.html

Patch:

ISC BIND Release 9.9.11-P1

https://kb.isc.org/article/AA-01549/81/BIND-9.9.11-P1-Release-Notes.html

Patch:

ISC BIND Security Advisory ISC-BIND-AA-01542

https://kb.isc.org/article/AA-01542/0

Patch:

Ubuntu Security Notice USN-3535-1

http://www.ubuntu.com/usn/usn-3535-1/

Patch:

Ubuntu Security Notice USN-3535-2

http://www.ubuntu.com/usn/usn-3535-2/

Patch:

Fedora Security Update FEDORA-2018-6550550774 (Fedora 26,
bind-9.11.2-1.P1.fc26, bind-dyndb-ldap-11.1-6.fc26,dnsperf-2.1.0.0-8.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-6550550774

Patch:

Fedora Security Update FEDORA-2018-97bdb9ba32 (Fedora 27,
bind-9.11.2-1.P1.fc27, bind-dyndb-ldap-11.1-8.fc27, dnsperf-2.1.0.0-11.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-97bdb9ba32

CVE-2017-3145: Schwachstelle in ISC BIND ermöglicht
Denial-of-Service-Angriff

Im DNS-Server ISC BIND mit konfigurierter DNSSEC-Validation existiert eine
Schwachstelle aufgrund ungenügender Bereinigung von Variablen nach
vorgeschalteten rekursiven Aktualisierungen. Dies führt unter Umständen zur
Nutzung bereits freigegebenen Speichers (Use-After-Free) und damit zum
Absturz des DNS-Servers. Die Schwachstelle existiert in BIND seit der
Version 9.0.0, kann aber nur seit der Behebung der Schwachstelle
CVE-2017-3137 ausgenutzt werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0105/

Debian Security Advisory DSA-4089-1:
https://www.debian.org/security/2018/dsa-4089

ISC BIND Release 9.10.6-P1:
https://kb.isc.org/article/AA-01548/81/BIND-9.10.6-P1-Release-Notes.html

ISC BIND Release 9.11.2-P1:
https://kb.isc.org/article/AA-01550/81/BIND-9.11.2-P1-Release-Notes.html

ISC BIND Release 9.9.11-P1:
https://kb.isc.org/article/AA-01549/81/BIND-9.9.11-P1-Release-Notes.html

ISC BIND Security Advisory ISC-BIND-AA-01542:
https://kb.isc.org/article/AA-01542/0

Ubuntu Security Notice USN-3535-1:
http://www.ubuntu.com/usn/usn-3535-1/

Ubuntu Security Notice USN-3535-2:
http://www.ubuntu.com/usn/usn-3535-2/

Schwachstelle CVE-2017-3145 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3145

Fedora Security Update FEDORA-2018-6550550774 (Fedora 26,
bind-9.11.2-1.P1.fc26, bind-dyndb-ldap-11.1-6.fc26,dnsperf-2.1.0.0-8.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-6550550774

Fedora Security Update FEDORA-2018-97bdb9ba32 (Fedora 27,
bind-9.11.2-1.P1.fc27, bind-dyndb-ldap-11.1-8.fc27, dnsperf-2.1.0.0-11.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-97bdb9ba32

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben