Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

BIND Versionen 9.8.0 bis inklusive 9.8.4-P1, 9.9.0 bis inklusive 9.9.2-P1

Betroffene Plattformen:

Alle Plattformen, auf denen der Bind-Server läuft

In ISC BIND 9 existiert in Abhängigkeit von bestimmten Konfigurationen eine
Schwachstelle, die ein entfernter Angreifer für einen
Denial-of-Service-Angriff ausnutzen kann.

AAAA-Records werden bei IPv6 verwendet, um Domain-Namen einer IPv6-Adresse
zuzuordnen. DNS64 stellt eine Methode für DNS-Server zur Verfügung, um bei
einer Anfrage eines AAAA-Records, die Antwort aus einem entsprechenden
A-Record zu erzeugen (falls dieser nur den A-Record und keinen passenden
AAAA-Record findet). Response Policy Zones (RPZ) dienen dazu, dass DNS
Recursive Resolver bestimmte Anfragen zu beispielsweise Domains mit
Schadsoftware blockieren können.

Workaround:

Im Advisory des Herstellers ist ein Abschnitt für einen ‘Workaround’
beschrieben

CVE-2012-5689: Schwachstelle in ISC BIND 9

Im ISC BIND 9 existiert eine Schwachstelle im DNS64-Code, der für die
Umwandlung von A-Records in einen AAAA-Record verwendet wird. Voraussetzung
ist allerdings, dass nur für den A-Record eine Umwandlungsregel (rewrite
rule) in einer Response Policy Zone (RPZ) existiert und keine Rewrite-Regel
für den entsprechenden AAAA-Record existiert. Ein entfernter Angreifer kann
unter diesen Umständen die Schwachstelle mittels einer Anfrage für einen
AAAA-Record für einen Denial-of-Service-Angriff ausnutzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0171/

Das Hersteller Advisory:
https://kb.isc.org/article/AA-00855

Schwachstelle CVE-2012-5689:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5689

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.