Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 6 (23.03.2016):
Für openSUSE Leap 42.1 steht ein Sicherheitsupdate zur Behebung der
Schwachstellen CVE-2016-1285 und CVE-2016-1286 bereit.
Version 5 (21.03.2016):
SUSE veröffentlicht zur Behebung der Schwachstellen CVE-2016-1285 und
CVE-2016-1286 Sicherheitsupdates für SUSE Linux Enterprise Software
Development Kit 11 SP4, Server 11 SP2 LTSS, 11 SP3 LTSS, 11 SP4 und
Desktop 11 SP4 sowie für openSUSE 13.1 und openSUSE 13.2.
Version 4 (16.03.2016):
SUSE veröffentlicht zur Behebung der Schwachstellen CVE-2016-1285 und
CVE-2016-1286 Sicherheitsupdates für SUSE Linux Enterprise Software
Development Kit 12, Server 12 und Desktop 12.
Version 3 (15.03.2016):
Für die SUSE Linux Enterprise 12 SP1 Produkte Software Development Kit,
Server und Desktop stehen Sicherheitsupdates für BIND zur Behebung der
Schwachstellen CVE-2016-1285 und CVE-2016-1286 bereit.
Version 2 (14.03.2016):
Für Fedora 22, 23 und 24 stehen Sicherheitsupdates für die Pakete ‘bind’
in Version 9.10.3 und ‘bind99’ in Version 9.9.8 im Status ‘testing’ oder
‘stable’ zur Verfügung. Die Sicherheitsupdates für ‘bind99’ adressieren
die Schwachstelle CVE-2016-2088 nicht.
Version 1 (10.03.2016):
Neues Advisory
Betroffene Software:
ISC BIND >= 9.0.0
ISC BIND <= 9.8.8
ISC BIND >= 9.9.0
ISC BIND <= 9.9.8 P3
ISC BIND >= 9.10.0
ISC BIND <= 9.10.3 P3
ISC BIND Supported Preview Edition >= 9.9.8-S1
ISC BIND Supported Preview Edition <= 9.9.8-S5
Betroffene Plattformen:
F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.1.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4
F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Software Development Kit 12
SUSE Linux Enterprise Software Development Kit 12 SP1
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 15.10
Debian Linux 7.9 Wheezy
Debian Linux 8.3 Jessie
Debian Linux 9.0 Stretch
FreeBSD < 9.3-RELEASE-p38
FreeBSD 9.3-STABLE
openSUSE 13.1
openSUSE 13.2
openSUSE Leap 42.1
SUSE Linux Enterprise Desktop 11 SP4
SUSE Linux Enterprise Desktop 12
SUSE Linux Enterprise Desktop 12 SP1
SUSE Linux Enterprise Server 11 SP2 LTSS
SUSE Linux Enterprise Server 11 SP3 LTSS
SUSE Linux Enterprise Server 11 SP4
SUSE Linux Enterprise Server 12
SUSE Linux Enterprise Server 12 SP1
Red Hat Fedora 22
Red Hat Fedora 23
Red Hat Fedora 24
Mehrere Schwachstellen in ISC BIND9 ermöglichen einem entfernten, nicht
authentifizierten Angreifer das Durchführen verschiedener Denial-of-Service
(DoS)-Angriffe.
ISC stellt Sicherheitsupdates in Form der fehlerbereinigten BIND 9 Versionen
9.9.8-P4 und 9.10.3-P4 sowie der BIND 9 Supported Preview Edition Version
9.9.8-S6 zur Verfügung.
Debian bestätigt, dass die Debian Linux Distributionen Wheezy (oldstable),
Jessie (stable) und Stretch (testing) von den Schwachstellen CVE-2016-1285
und CVE-2016-1286 betroffen sind, stellt derzeit aber nur Sicherheitsupdates
für Wheezy und Jessie bereit. Ein Sicherheitsupdate für Stretch soll in
Kürze folgen.
F5 Networks informiert über die Schwachstellen und darüber, welche Produkte
und Versionen von ihnen betroffen sind. Das BIG-IP Protocol Security Module
(PSM) in den Versionen 10.1.0 - 10.2.4 und 11.0.0 - 11.4.1 ist
ausschließlich von der Schwachstelle CVE-2016-1286 betroffen. Es stehen
derzeit keine Sicherheitsupdates zur Verfügung, F5 Networks gibt aber
bekannt, dass der verwundbare Programmcode in der Standardkonfiguration
nicht verwendet wird.
Das FreeBSD Project informiert darüber, dass die FreeBSD 9.x Versionen von
den Schwachstellen CVE-2016-1285 und CVE-2016-1286 betroffen sind und
veröffentlicht Sicherheitsupdates für 9.3-STABLE und die korrigierte Version
9.3-RELEASE-p38.
Ubuntu stellt Sicherheitsupdates für Ubuntu 15.10, Ubuntu 14.04 LTS und
Ubuntu 12.04 LTS bereit und adressiert damit ebenfalls die Schwachstellen
CVE-2016-1285 und CVE-2016-1286.
Patch:
Debian Security Advisory DSA-3511-1
https://www.debian.org/security/2016/dsa-3511
Patch:
FreeBSD Security Advisory FreeBSD-SA-16:13.bind.asc
https://www.freebsd.org/security/advisories/FreeBSD-SA-16:13.bind.asc
Patch:
ISC Security Advisory ISC-BIND-AA-01351
https://kb.isc.org/article/AA-01351/0
Patch:
ISC Security Advisory ISC-BIND-AA-01352
https://kb.isc.org/article/AA-01352/0
Patch:
ISC Security Advisory ISC-BIND-AA-01353
https://kb.isc.org/article/AA-01353/0
Patch:
Ubuntu Security Notice USN-2925-1
http://www.ubuntu.com/usn/usn-2925-1/
Patch:
Fedora Security Update FEDORA-2016-161b73fc2c (Fedora 22, bind99)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-161b73fc2c
Patch:
Fedora Security Update FEDORA-2016-364c0a9df4 (Fedora 22)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-364c0a9df4
Patch:
Fedora Security Update FEDORA-2016-5047abe4a9 (Fedora 23)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-5047abe4a9
Patch:
Fedora Security Update FEDORA-2016-75f31fbb0a (Fedora 24)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-75f31fbb0a
Patch:
Fedora Security Update FEDORA-2016-b593e84223 (Fedora 23, bind99)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-b593e84223
Patch:
Fedora Security Update FEDORA-2016-dce6dbe6a8 (Fedora 24, bind99)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-dce6dbe6a8
Patch:
SUSE Security Update SUSE-SU-2016:0759-1
https://lists.opensuse.org/opensuse-security-announce/2016-03/msg00046.html
Patch:
SUSE Security Update SUSE-SU-2016:0780-1
https://lists.opensuse.org/opensuse-security-announce/2016-03/msg00053.html
Patch:
SUSE Security Update SUSE-SU-2016:0825-1
https://lists.opensuse.org/opensuse-security-announce/2016-03/msg00070.html
Patch:
openSUSE Security Update openSUSE-SU-2016:0834-1
https://lists.opensuse.org/opensuse-security-announce/2016-03/msg00079.html
Patch:
openSUSE Security Update openSUSE-SU-2016:0827-1
https://lists.opensuse.org/opensuse-security-announce/2016-03/msg00072.html
Patch:
openSUSE Security Update openSUSE-SU-2016:0859-1
https://lists.opensuse.org/opensuse-security-announce/2016-03/msg00084.html
CVE-2016-2088: Schwachstelle in BIND9 ermöglicht Denial-of-Service-Angriff
Es existiert eine Schwachstelle in der vorläufigen Unterstützung von
DNS-Cookies in BIND9 ab Version 9.10 aufgrund eines Fehlers in der
Implementierung. Ist diese Unterstützung bei einem DNS-Server aktiviert, ist
ein Angreifer in der Lage, mit einem bewusst falsch konstruierten Paket mit
mehr als einem Cookie, einen INSIST Assertion Fehler in ‘named’ zu
verursachen und den Dienst dadurch zum Absturz bringen. Ein entfernter,
nicht authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.
CVE-2016-1286: Schwachstelle in BIND9 ermöglicht Denial-of-Service-Angriff
Aufgrund eines Fehlers beim Parsen von Resource Record (RR)-Signaturen für
DNAME-Records mit spezifischen Eigenschaften kann es zu einem Assertion
Fehler in resolver.c oder db.c in ISC BIND 9.x bevor 9.9.8-P4 und 9.10.x
bevor 9.10.3-P4 kommen. Dies führt zum Beenden des ‘named’-Dienstes, wodurch
der DNS-Dienst in einen Denial-of-Service-Zustand gerät. Ein entfernter,
nicht authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.
CVE-2016-1285: Schwachstelle in BIND9 ermöglicht Denial-of-Service-Angriff
Es existiert eine Denial-of-Service-Schwachstelle in ISC BIND 9.x bevor
9.9.8-P4 und 9.10.x bevor 9.10.3-P4 aufgrund der nicht ordnungsgemäßen
Behandlung von Eingaben im Control Channel (rndc). Dadurch ist es möglich
den Dienst ‘named’ mit einem bösartig präparierten Datenpaket, welches einen
Assertion Fehler in sexpr.c oder alist.c auslöst, zum Absturz zu bringen. Um
die Schwachstelle erfolgreich ausnutzen zu können, muss das Datenpaket von
einem Gerät gesendet werden, dessen IP-Adresse in der Adressliste im
“controls”-Statement in named.conf eingetragen ist. Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0427/
Debian Security Advisory DSA-3511-1:
https://www.debian.org/security/2016/dsa-3511
FreeBSD Security Advisory FreeBSD-SA-16:13.bind.asc:
https://www.freebsd.org/security/advisories/FreeBSD-SA-16:13.bind.asc
ISC Security Advisory ISC-BIND-AA-01351:
https://kb.isc.org/article/AA-01351/0
ISC Security Advisory ISC-BIND-AA-01352:
https://kb.isc.org/article/AA-01352/0
ISC Security Advisory ISC-BIND-AA-01353:
https://kb.isc.org/article/AA-01353/0
Ubuntu Security Notice USN-2925-1:
http://www.ubuntu.com/usn/usn-2925-1/
F5 Networks Security Advisory sol62012529:
http://support.f5.com/kb/en-us/solutions/public/k/62/sol62012529.html?ref=rss
Schwachstelle CVE-2016-1285 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1285
Schwachstelle CVE-2016-1286 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1286
Schwachstelle CVE-2016-2088 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2088
Fedora Security Update FEDORA-2016-161b73fc2c (Fedora 22, bind99):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-161b73fc2c
Fedora Security Update FEDORA-2016-364c0a9df4 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-364c0a9df4
Fedora Security Update FEDORA-2016-5047abe4a9 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-5047abe4a9
Fedora Security Update FEDORA-2016-75f31fbb0a (Fedora 24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-75f31fbb0a
Fedora Security Update FEDORA-2016-b593e84223 (Fedora 23, bind99):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-b593e84223
Fedora Security Update FEDORA-2016-dce6dbe6a8 (Fedora 24, bind99):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-dce6dbe6a8
SUSE Security Update SUSE-SU-2016:0759-1:
https://lists.opensuse.org/opensuse-security-announce/2016-03/msg00046.html
SUSE Security Update SUSE-SU-2016:0780-1:
https://lists.opensuse.org/opensuse-security-announce/2016-03/msg00053.html
SUSE Security Update SUSE-SU-2016:0825-1:
https://lists.opensuse.org/opensuse-security-announce/2016-03/msg00070.html
openSUSE Security Update openSUSE-SU-2016:0834-1:
https://lists.opensuse.org/opensuse-security-announce/2016-03/msg00079.html
openSUSE Security Update openSUSE-SU-2016:0827-1:
https://lists.opensuse.org/opensuse-security-announce/2016-03/msg00072.html
openSUSE Security Update openSUSE-SU-2016:0859-1:
https://lists.opensuse.org/opensuse-security-announce/2016-03/msg00084.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
