Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
ISC BIND < 9.9.9-P8 ISC BIND < 9.9.9-S10 Supported Preview ISC BIND < 9.9.10rc3 ISC BIND < 9.10.4-P8 ISC BIND < 9.10.5rc3 ISC BIND < 9.11.0-P5 ISC BIND < 9.11.1rc3 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP3 SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 SUSE Linux Enterprise Software Development Kit 12 SP1 SUSE Linux Enterprise Software Development Kit 12 SP2 SUSE Manager 2.1 SUSE Manager Proxy 2.1 SUSE OpenStack Cloud 5 Unix GNU/Linux SUSE Linux Enterprise Desktop 12 SP1 SUSE Linux Enterprise Desktop 12 SP2 SUSE Linux Enterprise Server 11 SP3 LTSS SUSE Linux Enterprise Server 11 SP4 SUSE Linux Enterprise Server 12 LTSS SUSE Linux Enterprise Server for SAP 12 SUSE Linux Enterprise Server 12 SP1 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi Mehrere Schwachstellen in BIND ermöglichen auch einem entfernten, nicht authentifizierten Angreifer die Durchführung von Denial-of-Service-Angriffen. ISC veröffentlicht die Sicherheitshinweise ISC-BIND-AA-01465 (CVE-2017-3136), ISC-BIND-AA-01466 (CVE-2017-3137) und ISC-BIND-AA-01471 (CVE-2017-3138) und stellt Sicherheitsupdates in Form der Versionen 9.9.9-P8, 9.10.4-P8 und 9.11.0-P5, der BIND Supported Preview Edition 9.9.9-S10 sowie der Release-Kandidaten 9.9.10rc3, 9.10.5rc3 und 9.11.1rc3 bereit. SUSE adressiert für die SUSE Linux Enterprise Produkte Software Development Kit (11 SP4, 12 SP1, 12 SP2), Server (11 SP3 LTSS, 11 SP4, 12 LTSS, 12 SP1, 12 SP2), Server for Raspberry Pi 12 SP2, Server for SAP 12, Desktop (12 SP1, 12 SP2), Debuginfo (11 SP3, 11 SP4) sowie SUSE OpenStack Cloud 5, Manager Proxy 2.1 und Manager 2.1 zusätzlich zu den drei genannten neuen Schwachstellen noch zwei ältere, über die ebenfalls Denial-of-Service-Angriffe erfolgen können, mittels Backport-Sicherheitsupdates. Patch: ISC BIND Operational Notification ISC-BIND-AA-01390 (CVE-2016-6170) https://kb.isc.org/article/AA-01390/0
Patch:
ISC BIND Security Advisory ISC-BIND-AA-01465 (CVE-2017-3136)
https://kb.isc.org/article/AA-01465/0
Patch:
ISC BIND Security Advisory ISC-BIND-AA-01466 (CVE-2017-3137)
https://kb.isc.org/article/AA-01466/0
Patch:
ISC BIND Security Advisory ISC-BIND-AA-01471 (CVE-2017-3138)
https://kb.isc.org/article/AA-01471/0
Patch:
SUSE Security Update SUSE-SU-2017:0998-1
http://lists.suse.com/pipermail/sle-security-updates/2017-April/002795.html
Patch:
SUSE Security Update SUSE-SU-2017:0999-1
http://lists.suse.com/pipermail/sle-security-updates/2017-April/002796.html
Patch:
SUSE Security Update SUSE-SU-2017:1000-1
http://lists.suse.com/pipermail/sle-security-updates/2017-April/002797.html
CVE-2017-3138: Schwachstelle in BIND9 ermöglicht Denial-of-Service-Angriff
Der BIND-Server besitzt ein Feature, welches es einem Operator erlaubt, im
laufenden Betrieb Befehle auszuführen, indem er mit dem Server über einen
Kontrollkanal mittels eines Programms wie ‘rndc’ (Remote Name Daemon
Control) kommuniziert. Über eine kürzlich durchgeführte Feature-Änderung
wurde eine Regression eingeführt, die bei einigen Versionen von BIND dazu
führen kann, dass sich der BIND-Server mit einem REQUIRE-Zusicherungsfehler
beendet (REQUIRE Assertion Failure), wenn ein leerer Kommandostring (null
command string) übermittelt wird. Ein entfernter, einfach authentisierter
Angreifer kann die Schwachstelle ausnutzen, wenn er Zugriff auf den
standardmäßig nicht aktivierten BIND-Kontrollkanal erhält, um einen
Denial-of-Service-Zustand zu bewirken.
CVE-2017-3137: Schwachstelle in BIND9 ermöglicht Denial-of-Service-Angriff
In BIND9 existiert eine Schwachstelle aufgrund fehlerhafter Annahmen über
die Sortierreihenfolge von Daten in der Antwortsektion einer Response, die
CNAME oder DNAME Daten enthält. Durch die fehlerhaften Annahmen kann es zu
einer Situation kommen, in der der BIND-Server mit einem Zusicherungsfehler
(Assertion Failure) terminiert, wenn eine Response mit Daten in einer
ungewöhnlichen Sortierreihenfolge verarbeitet wird. Rekursive Server sind
von dieser Schwachstelle stärker betroffen als Autoritative Server. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle für einen
Denial-of-Service-Angriff ausnutzen.
CVE-2017-3136: Schwachstelle in BIND9 ermöglicht Denial-of-Service-Angriff
Auf einem BIND-Server, der für die Nutzung von DNS64 konfiguriert ist und
bei dem die Option “break-dnssec yes;” verwendet wird, kann mittels einer
speziell gestalteten Anfrage ein Zusicherungsfehler (Assertion Failure)
ausgelöst werden, der zu einer Beendigung des Programms führt. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle für einen
Denial-of-Service-Angriff ausnutzen.
CVE-2016-6170: Schwachstelle in BIND9 ermöglicht Denial-of-Service-Angriff
Ein BIND-Server, der Zonendaten von anderen Servern akzeptiert, ist aufgrund
einer nicht unbedingt erfüllten Annahme über die Vertrauenswürdigkeit von
primären und sekundären Servern in einer gegebenen Zone angreifbar, da keine
Größenbeschränkung beim Zonentransfer besteht. Ein Master-Server kann über
die massenhafte Übermittlung von Daten an einen Slave-Server diesen aufgrund
des Aufbrauchens des verfügbaren Speichers in einen
Denial-of-Service-Zustand versetzen. Sofern einem Klient erlaubt ist,
Datensätze in eine Zone einzufügen, kann auch dieser die fehlende
Limitierung ausnutzen, um den vorhandenen Speicher zu erschöpfen. Ein
entfernter, einfach authentifizierter Angreifer kann eine unbegrenzte Menge
an Zoneninformationen transferieren, wodurch der temporäre Speicher des
Systems ausgeschöpft und ein Denial-of-Service (DoS)-Zustand erzeugt wird.
CVE-2016-2775: Schwachstelle in BIND9 ermöglicht Denial-of-Service-Angriff
In der Implementierung des Lightweight Resolver-Protokolls, einer zu DNS
alternativen Möglichkeit zur Namensauflösung, in BIND besteht eine
Schwachstelle bei der Verarbeitung von Namensanfragen, die in Kombination
mit einem Suchlisteneintrag die maximal für die Verarbeitung erlaubte
Zeichenkettenlänge übertreffen. Ein entfernter, nicht authentifizierter
Angreifer kann durch eine speziell präparierte Anfrage zur Namensauflösung
eine Schutzverletzung (Segmentation Fault) im BIND-Server auslösen, wodurch
der Prozess abbricht und weitere Anfragen zur Namensauflösungen nicht mehr
beantwortet werden (Denial-of-Service).
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0650/
Schwachstelle CVE-2016-6170 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6170
Schwachstelle CVE-2016-2775 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2775
ISC BIND Operational Notification ISC-BIND-AA-01390 (CVE-2016-6170):
https://kb.isc.org/article/AA-01390/0
ISC BIND Security Advisory ISC-BIND-AA-01465 (CVE-2017-3136):
https://kb.isc.org/article/AA-01465/0
ISC BIND Security Advisory ISC-BIND-AA-01466 (CVE-2017-3137):
https://kb.isc.org/article/AA-01466/0
ISC BIND Security Advisory ISC-BIND-AA-01471 (CVE-2017-3138):
https://kb.isc.org/article/AA-01471/0
SUSE Security Update SUSE-SU-2017:0998-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-April/002795.html
SUSE Security Update SUSE-SU-2017:0999-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-April/002796.html
SUSE Security Update SUSE-SU-2017:1000-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-April/002797.html
Schwachstelle CVE-2017-3136 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3136
Schwachstelle CVE-2017-3137 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3137
Schwachstelle CVE-2017-3138 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3138
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
