Eine Sicherheitslücke im BIND-Server hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacke gegen den Dienst ausführen kann.
Die Schwachstelle tritt beim Auswerten von regulären Ausdrücken innerhalb des BIND-Codes auf. Ein entfernter Angreifer kann diese Lücke durch eine spezielle DNS-Anfrage auslösen und damit den named-Prozess dazu bringen, sehr viel Speicher auf dem System zu verbrauchen.
Betroffen sind die Versionen 9.6.x und 10.x.
ISC weißt in dem Advisory darauf hin, dass für BIND-Versionen älter als Version 9.7 keine Patches mehr bereitgestellt werden. Trotzdem lassen sich die betroffenen 9.6.xer-Versionen mit Hilfe eines Workaround fixen. Dieser schlägt vor, den fehlerhaften Support von regulären Ausdrücken einfach zu deaktivieren. Hierzu muss man nach dem Ausführen des configure-Skriptes die config.h manuell bearbeiten, um
#define HAVE_REGEX_H 1
durch
#undef HAVE_REGEX_H
zu ersetzen. Damit wird dann BIND ohne Unterstützung von regulären Ausdrücken übersetzt, und die Attacke ist nicht mehr möglich.

