Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Juniper Junos OS < 12.1X46-D66 Juniper Junos OS < 12.3X48-D50 Juniper Junos OS < 15.1X49-D80 Betroffene Plattformen: Juniper vSRX Integrated Virtual Firewall Juniper J-Series Routers Juniper SRX Services Gateways Mehrere Schwachstellen in dem in Junos SRX Services Gateways, vSRX Integrated Virtual Firewall und J-Series Routers verwendeten ISC BIND ermöglichen einem entfernten, nicht authentisierten Angreifer verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen, wenn bei den betroffenen Geräten der DNS-Proxy Service aktiviert ist. Juniper informiert über die Schwachstellen und stellt Sicherheitsupdates bereit. Die Schwachstellen CVE-2016-2776 und CVE-2016-8864 werden durch die Junos OS Versionen 12.1X46-D65, 12.3X48-D45 und 15.1X49-D70 adressiert. Mit den Junos OS Versionen 12.1X46-D66, 12.3X48-D50 und 15.1X49-D80 werden die Schwachstellen CVE-2016-9131, CVE-2016-9147 und CVE-2016-9444 behoben. Zusätzlich stellt Juniper Informationen zu Workarounds bereit. Patch: Juniper Security Advisory JSA10785 (Multiple ISC BIND Vulnerabilities) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10785&cat=SIRT_1&actp=LIST

CVE-2016-9444: Schwachstelle in BIND ermöglicht Denial-of-Service-Angriff

Eine speziell präparierte Antwort, die einen Eintrag für den Delegation
Signer enthält (DS Resource Record), kann einen Zusicherungsfehler auslösen.
Ein entfernter, nicht authentifizierter Angreifer kann dadurch einen
Denial-of-Service-Angriff durchführen, in dessen Folge die Ausführung von
‘named’ beendet wird, so dass Anfragen von Klientensystemen nicht mehr
bearbeitet werden. Autoritative Server sind von der Schwachstelle nicht in
vollem Umfang betroffen.

CVE-2016-9147: Schwachstelle in BIND ermöglicht Denial-of-Service-Angriff

In Antworten von autoritativen Servern, in denen Domain Name System Security
Extensions (DNSSEC) aktiviert sind, an rekursive Server werden RRSIGs
(Signed RRsets) und weitere RRsets erwartet. Falls solche Antworten RRsets
im DNSSEC-Kontext enthalten, die inkosistent zu anderen RRsets in der
gleichen Anwort sind, wird ein Zusicherungsfehler (Assertion Failure)
ausgelöst. Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe
einer speziell präparierten Antwort einen Zusicherungsfehler auslösen, in
dessen Folge die Ausführung von ‘named’ beendet wird, so dass Anfragen von
Klientensystemen nicht mehr bearbeitet werden. Autoritative Server sind von
der Schwachstelle nicht in vollem Umfang betroffen.

CVE-2016-9131: Schwachstelle in BIND ermöglicht Denial-of-Service-Angriff

Eine speziell präparierte Antwort auf eine Anfrage beliebigen Typs (RTYPE
ANY) an einen rekursiven Server kann einen Zusicherungsfehler (Assertion
Failure) auslösen, wenn ‘named’ versucht, Ressourcen-Einträge (Ressource
Records, RR) in der Antwort auf die Anfrage dem Zwischenspeicher
hinzuzufügen. Ein entfernter, nicht authentifizierter Angreifer kann einen
Denial-of-Service-Angriff ausführen, indem er ein Szenario schafft, in dem
eine ‘ANY’-Anfrage für einen ‘Query Domain Name’ (QNAME) an einen rekursiven
Server gesendet wird. Dadurch wird der Zusicherungsfehler ausgelöst und in
der Folge die Ausführung von ‘named’ beendet, so dass Anfragen von
Klientensystemen nicht mehr bearbeitet werden. Autoritative Server sind von
der Schwachstelle nicht in vollem Umfang betroffen.

CVE-2016-8864: Schwachstelle in BIND ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in ISC BIND existiert aufgrund eines Fehlers bei der
Behandlung von Rückmeldungen, die eine DNAME-Antwort enthalten. Diese
Schwachstelle kann mit einer präparierten Antwort ausgenutzt werden, um eine
Ausnahmebehandlung in den Dateien ‘db.c’ oder ‘resolver.c’ auszulösen und
dadurch einen Denial-of-Service-Zustand zu bewirken. Dies betrifft weniger
autoritative, sondern in erster Linie rekursive Server. Ein entfernter,
nicht authentisierter Angreifer kann die Schwachstelle mit präpariertem
Datenverkehr ausnutzen und einen Denial-of-Service-Angriff durchführen.

CVE-2016-2776: Schwachstelle in BIND9 ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in BIND9 existiert aufgrund eines Fehlers bei der
Umsetzung von Nachrichten in Pakete. Dies kann dazu führen, dass unter
bestimmten Bedingungen bei der Generierung einer Antwort auf eine Anfrage
ein kritischer Fehler (Assertion Failure) in ‘buffer.c’ auftritt und der
Dienst in einen Denial-of-Service-Zustand (DoS) gerät. Die Schwachstelle ist
auch von Quellen aus ausnutzbar, deren Adressen für gewöhnlich über die
Option ‘allow-query’ ausgeschlossen sind. Ein entfernter, nicht
authentisierter Angreifer kann die Schwachstelle ausnutzen, indem er eine
speziell präparierten Anfrage an einen betroffenen Namensserver sendet und
so einen Denial-of-Service-Angriff durchführen. Namensserver die Pakete von
sämtlichen Quellen empfangen können sind gegenüber dieser Schwachstelle
verwundbar.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0652/

Schwachstelle CVE-2016-2776 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2776

Schwachstelle CVE-2016-8864 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8864

Schwachstelle CVE-2016-9131 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9131

Schwachstelle CVE-2016-9147 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9147

Schwachstelle CVE-2016-9444 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9444

Juniper Security Advisory JSA10785 (Multiple ISC BIND Vulnerabilities):
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10785&cat=SIRT_1&actp=LIST

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.