Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 8 (07.10.19):
Für die SUSE Linux Enterprise Module für Server Applications, Open
Buildservice Development Tools und Basesystem 15 und 15 SP1 sowie für
openSUSE Leap 15.0 und 15.1 stehen Sicherheitsupdates zur Behebung der
Schwachstelle in ‘bind’ bereit.
Version 7 (30.08.19):
Für Fedora 29 steht ein neues Sicherheitsupdate in Form der Pakete
‘bind-9.11.10-1.fc29’, ‘bind-dyndb-ldap-11.1-19.fc29’,
‘dhcp-4.3.6-34.fc29’ und ‘dnsperf-2.3.2-1.fc29’ im Status ‘testing’
bereit, welches das vorherige Update FEDORA-2019-5da166a4ce ersetzt, das
in den Status ‘obsolete’ überführt wurde (Referenz entfernt).
Version 6 (05.08.19):
Oracle stellt Sicherheitsupdates für BIND zur Verfügung, um die
referenzierte Schwachstelle für Oracle Linux 8 (aarch64, x86_64) zu
beheben.
Version 5 (01.08.19):
Für Fedora 29 stehen Sicherheitsupdates in Form der Pakete
‘bind-9.11.9-1.fc29’ und ‘dhcp-4.3.6-33.fc29’ im Status ‘testing’ zur
Verfügung.
Version 4 (18.07.19):
Für Fedora 29 und 30 stehen Sicherheitsupdates für ‘bind’ auf Version
9.11.8 im Status ‘testing’ bereit, um die Schwachstelle zu beheben.
Gleichzeitig werden die Pakete ‘bind-dyndb-ldap’, ‘dhcp’ und ‘dnsperf’
aktualisiert. In den heute veröffentlichten Versionen 9.11.9 und 9.14.4
von ISC BIND wird die Schwachstelle ebenfalls erneut als behoben
aufgeführt. Es gibt bisher keine Hinweise darauf, dass Updates auf die
Versionen 9.11.8 und 9.14.3 die Schwachstelle CVE-2019-6471 nicht oder
nicht ausreichend adressieren.
Version 3 (10.07.19):
Red Hat veröffentlicht für Red Hat Enterprise Linux 8 Sicherheitsupdates
für BIND zur Behebung der Schwachstelle.
Version 2 (20.06.19):
Canonical stellt für die Distributionen Ubuntu 19.04, Ubuntu 18.10 und
Ubuntu 18.04 LTS Sicherheitsupdates zur Behebung der Schwachstelle in Bind
zur Verfügung.
Version 1 (20.06.19):
Neues Advisory
Ein entfernter, nicht authentisierter Angreifer kann einen Denial-of-Service
(DoS)-Angriff gegen ‘named’ durchführen, wenn er einen Resolver Anfragen
ausführen lassen kann, auf die ein Server zu diesem Zweck falsch formatierte
Antworten sendet.
Der Hersteller informiert über die Schwachstelle und veröffentlicht für die
Versionszweige 9.11.x, 9.12.x und 9.14x die Versionen 9.11.8, 9.12.4-P2 und
9.14.3, um die Schwachstelle zu beheben. Für die Supported Preview Edition
von BIND wird Version 9.11.8-S1 bereitgestellt.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-1242]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
