[Fedora] Schwachstelle in ISC Bind – FEDORA-2011-7602

[Fedora] Schwachstelle in ISC Bind - FEDORA-2011-7602

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-1910 – Denial of Service Schwachstelle im ISC BIND 9 DNS Server

Ein BIND 9 DNS Server, der als zwischenspeichernder Resolver
konfiguriert ist, behandelt Anfragen nach nicht existierenden Domaenen
mit sehr grossen Resource Record Sets in unsicherer Weise. Eine Anfrage
die NXDOMAIN oder NODATA/NOERROR zur Antwort erhaelt wird zusammen mit
den “Start of Authority” (SOA) und NSEC/NSEC3 Eintraegen in einem
Negativcache zwischengespeichert, um die Antwortzeiten zu verbessern. In
DNSSEC sind diese Eintraege alle signiert und fuer jeden Eintrag in der
‘authority section’ wird per DNSSEC Schluessel ein zusaetzlicher RRSIG
Eintrag gespeichert. Da in der Ermittlung der Pufferspeichergroesse ein
off-by-one Fehler vorhanden ist, kann der Nameserver zum Absturz
gebracht werden. Ein entfernter Angreifer mit Zugang zu der Anwendung,
kann diese Schwachstelle zu einem Denial of Service Angriff ausnutzen.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket bind

Fedora 13
Fedora 14

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Timo Schulz

– —
Timo Schulz, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-7602
2011-05-27 19:56:34
– ——————————————————————————–

Name : bind
Product : Fedora 14
Version : 9.7.4
Release : 0.2.b1.fc14
URL : http://www.isc.org/products/BIND/
Summary : The Berkeley Internet Name Domain (BIND) DNS (Domain Name System) server
Description :
BIND (Berkeley Internet Name Domain) is an implementation of the DNS
(Domain Name System) protocols. BIND includes a DNS server (named),
which resolves host names to IP addresses; a resolver library
(routines for applications to use when interfacing with DNS); and
tools for verifying that the DNS server is operating properly.

– ——————————————————————————–
Update Information:

This update fixes CVE-2011-1910:

* large RRSIG RRsets and negative caching can crash named
– ——————————————————————————–
ChangeLog:

* Fri May 27 2011 Adam Tkac 32:9.7.4-0.2.b1
– – fix CVE-2011-1910
* Tue May 17 2011 Adam Tkac 32:9.7.4-0.1.b1
– – update to 9.7.4b1 (#683648)
– bind97-rh674334.patch merged
– bind97-rh665971.patch merged
– bind97-cleanup.patch merged
* Fri Feb 18 2011 Adam Tkac 32:9.7.3-1
– – update to 9.7.3
– bind97-krb5-self.patch merged
– – fix dig +trace on dualstack systems (#674334)
– – fix linkage order when building on system with older BIND (#665971)
– – reduce number of gcc warnings
* Mon Dec 20 2010 Adam Tkac 32:9.7.2-5.P3
– – fix “krb5-self” update-policy rule processing
* Thu Dec 2 2010 Adam Tkac 32:9.7.2-4.P3
– – update to 9.7.2-P3
* Mon Nov 8 2010 Adam Tkac 32:9.7.2-3.P2
– – don’t emit various informational messages by default (#645544)
– ——————————————————————————–
References:

[ 1 ] Bug #708301 – CVE-2011-1910 bind: Large RRSIG RRsets and Negative Caching can crash named
https://bugzilla.redhat.com/show_bug.cgi?id=708301
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update bind’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJN9yyxAAoJEJtyb8U7iGZBcj0IAKRFo7wS5mozs43h2Mc4r+Wv
DlkuIZr3Jvo7BODIq4tkDNFQaYP1F3hjOI30W/RgBRxIfjKk7+tFuvxmwc79H7ti
PQ4AGUaJmBc5kTVvelXM8wMAbiMMsDSiN8XD3kS2vyfdtUfTwNOQdSQctr3Pnmv9
TLbGicbCCs0259rFMS/cKe4wqJh33UqbtrCy7lGuS5+sK+jpcX0Iq+u7lTLp0uUU
mHf1FAkLhidFSGySxSAed6qeTGL00B+VWh05uPbsmIkes3JphlQjP1YivN/GB0cX
ewqQrUiqx+ddIxg+jAZgsLAoH9mU/wenG2arCckl7Q/hf4hrlCLoY4c7rosU5rE=
=6Fpx
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben