Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 10 (07.03.2017):
Für die Distributionen openSUSE Leap 42.1 und openSUSE Leap 42.2 stehen
Sicherheitsupdates für Bind zur Verfügung.
Version 9 (03.03.2017):
Für SUSE OpenStack Cloud 5, SUSE Manager Proxy 2.1 und SUSE Manager 2.1
sowie die SUSE Linux Enterprise Produkte Software Development Kit in den
Versionen 11 SP4, 12 SP1 und 12 SP2; Server in den Versionen 11 SP3 LTSS,
11 SP4, 12 LTSS, 12 SP1, 12 SP2, Server for SAP 12 und Server for
Raspberry Pi 12 SP2; Debuginfo in den Versionen 11-SP3 und 11 SP4 sowie
Desktop in Version 12 SP1 und 12 SP2 stehen Sicherheitsupdates zur
Behebung der Schwachstelle bereit.
Version 8 (27.02.2017):
Für Debian Jessie (stable) und Stretch (testing) stehen Sicherheitsupdates
für BIND bereit, um die Schwachstelle zu beheben. Durch die Updates wird
zusätzlich eine Regression behoben, die durch den Patch für CVE-2016-8864
(Debian Security Advisory DSA-3703-1) verursacht wurde.
Version 7 (23.02.2017):
F5 Networks informiert darüber, welche Produkte und Programmversionen von
der Schwachstelle in BIND betroffen sind. Unter anderem ist das
BIG-IP-Protocol Security Module (PSM) in Version 11.4.1 HF 8 und später
verwundbar. Hierfür stehen noch keine Sicherheitsupdates zur Verfügung. F5
Networks beschreibt im referenzierten Sicherheitshinweis einen Workaround
zur Mitigation der Schwachstelle.
Version 6 (17.02.2017):
Canonical stellt für Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 16.04 LTS
und Ubuntu 16.10 Sicherheitsupdates für das Paket ‘bind9’ bereit.
Version 5 (15.02.2017):
Für Oracle Linux 7 (x86_64) steht ebenfalls ein Sicherheitsupdate für ISC
BIND bereit.
Version 4 (15.02.2017):
Für die Red Hat Enterprise Linux 7 Produkte Desktop, Server, Workstation,
HPC Node sowie für Server TUS 7.3 stehen Sicherheitsupdates bereit.
Version 3 (13.02.2017):
Für Fedora 24 und 25 stehen mit den Paketen ‘bind-9.10.4-3.P6.fc24’ und
‘bind-9.10.4-4.P6.fc25’ Sicherheitsupdates im Status ‘testing’ bereit.
Version 2 (10.02.2017):
Das Internet Systems Consortium informiert in einer Aktualisierung des
referenzierten Sicherheitshinweises darüber, dass ISC BIND 9.8.8 ebenfalls
von der Schwachstelle betroffen ist. Für den Versionszweig 9.8.x werden
keine Sicherheitsupdates mehr zur Verfügung gestellt (End-of-Life
September 2014).
Version 1 (09.02.2017):
Neues Advisory

Betroffene Software:

ISC BIND 9.8.8
ISC BIND >= 9.9.3
ISC BIND <= 9.9.9-P5 ISC BIND 9.9.10b1 ISC BIND >= 9.10.0
ISC BIND <= 9.10.4-P5 ISC BIND 9.10.5b1 ISC BIND >= 9.11.0
ISC BIND <= 9.11.0-P2 ISC BIND 9.11.1b1 ISC BIND Supported Preview Edition >= 9.9.3-S1
ISC BIND Supported Preview Edition <= 9.9.9-S7 SUSE Linux Enterprise Debuginfo 11 SP3 SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 SUSE Linux Enterprise Software Development Kit 12 SP1 SUSE Linux Enterprise Software Development Kit 12 SP2 SUSE Manager 2.1 SUSE Manager Proxy 2.1 SUSE OpenStack Cloud 5 Betroffene Plattformen: F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.4.1 HF8
Canonical Ubuntu Linux 12.04 LTS
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 16.10
Debian Linux 8.7 Jessie
Debian Linux 9.0 Stretch
GNU/Linux
openSUSE Leap 42.1
openSUSE Leap 42.2
SUSE Linux Enterprise Desktop 12 SP1
SUSE Linux Enterprise Desktop 12 SP2
SUSE Linux Enterprise Server 11 SP3 LTSS
SUSE Linux Enterprise Server 11 SP4
SUSE Linux Enterprise Server 12 LTSS
SUSE Linux Enterprise Server for SAP 12
SUSE Linux Enterprise Server 12 SP1
SUSE Linux Enterprise Server 12 SP2
SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi
Oracle Linux 7
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server 7.3 TUS
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 24
Red Hat Fedora 25

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in
ISC BIND Servern, welche per Konfiguration sowohl Response Policy Zones
(RPZ) als auch DNS64 (als Methode AAAA Records aus A Records zu
synthetisieren) unterstützen, dazu ausnutzen, einen Denial-of-Service
(DoS)-Angriff gegen den Prozess ‘named’ durchzuführen. Dadurch werden
Anfragen von Klienten nicht weiter bearbeitet.

Das Internet Systems Consortium (ISC) informiert über die Schwachstellen und
veröffentlicht die neuen Programmversionen BIND 9.9.9-P6, 9.10.4-P6,
9.11.0-P3 und 9.9.9-S8 (letztere nur für ISC Support Kunden), in denen die
Schwachstellen behoben sind.

Workaround:

Die Schwachstelle kann durch Deaktivierung von DNS64 oder RPZ umgangen
werden, bis das Sicherheitsupdate eingespielt werden kann.

Patch:

ISC BIND Security Advisory ISC-BIND-AA-01453 (CVE-2017-3135)

https://kb.isc.org/article/AA-01453/0

Patch:

Fedora Security Update FEDORA-2017-27099c270a (Fedora 24,
bind-9.10.4-3.P6.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-27099c270a

Patch:

Fedora Security Update FEDORA-2017-2b46c8b6c2 (Fedora 25,
bind-9.10.4-4.P6.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-2b46c8b6c2

Patch:

Oracle Linux Security Advisory ELSA-2017-0276

https://linux.oracle.com/errata/ELSA-2017-0276.html

Patch:

Red Hat Security Advisory RHSA-2017:0276

http://rhn.redhat.com/errata/RHSA-2017-0276.html

Patch:

Ubuntu Security Notice USN-3201-1

http://www.ubuntu.com/usn/usn-3201-1/

Patch:

Debian Security Update DSA-3795-1

https://www.debian.org/security/2017/dsa-3795

Patch:

SUSE Security Update SUSE-SU-2017:0594-1

http://lists.suse.com/pipermail/sle-security-updates/2017-March/002672.html

Patch:

SUSE Security Update SUSE-SU-2017:0595-1

http://lists.suse.com/pipermail/sle-security-updates/2017-March/002673.html

Patch:

SUSE Security Update SUSE-SU-2017:0596-1

http://lists.suse.com/pipermail/sle-security-updates/2017-March/002674.html

Patch:

openSUSE Security Update openSUSE-SU-2017:0620-1

http://lists.opensuse.org/opensuse-updates/2017-03/msg00012.html

CVE-2017-3135: Schwachstelle in BIND ermöglicht Denial-of-Service-Angriff

Wenn die Konfiguration eines Servers die gleichzeitige Verwendung der
DNS-Erweiterung DNS64 (‘Extensions for Network Address Translation from IPv6
Clients to IPv4 Servers’, RFC 6147) zur IPv6/IPv4-Übersetzung, als auch RPZ
(Domain Name Service Response Policy Zones) unterstützt, kann die
Verarbeitung von Anfragen (Queries) zu einem inkonsistenten Status führen,
wodurch es entweder zu einem INSIST Zusicherungsfehler (Assertion Failure)
und nachfolgendem Abbruch oder zu dem Versuch, durch einen NULL-Zeiger zu
lesen (NULL Pointer Read) kommen kann, infolgedessen auf den meisten
Systemen eine Schutzverletzung (Segmentation Fault, SEGFAULT) ausgelöst
wird; in beiden genannten Fällen wird der Prozess infolgedessen hart
beendet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0237/

ISC BIND Security Advisory ISC-BIND-AA-01453 (CVE-2017-3135):
https://kb.isc.org/article/AA-01453/0

Schwachstelle CVE-2017-3135 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3135

Fedora Security Update FEDORA-2017-27099c270a (Fedora 24,
bind-9.10.4-3.P6.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-27099c270a

Fedora Security Update FEDORA-2017-2b46c8b6c2 (Fedora 25,
bind-9.10.4-4.P6.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2b46c8b6c2

Oracle Linux Security Advisory ELSA-2017-0276:
https://linux.oracle.com/errata/ELSA-2017-0276.html

Red Hat Security Advisory RHSA-2017:0276:
http://rhn.redhat.com/errata/RHSA-2017-0276.html

Ubuntu Security Notice USN-3201-1:
http://www.ubuntu.com/usn/usn-3201-1/

F5 Networks Security Advisory K80533167: BIND vulnerability CVE-2017-3135
:
https://support.f5.com/csp/article/K80533167

Debian Security Update DSA-3795-1:
https://www.debian.org/security/2017/dsa-3795

SUSE Security Update SUSE-SU-2017:0594-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-March/002672.html

SUSE Security Update SUSE-SU-2017:0595-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-March/002673.html

SUSE Security Update SUSE-SU-2017:0596-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-March/002674.html

openSUSE Security Update openSUSE-SU-2017:0620-1:
http://lists.opensuse.org/opensuse-updates/2017-03/msg00012.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 9 (03.03.2017):
Für SUSE OpenStack Cloud 5, SUSE Manager Proxy 2.1 und SUSE Manager 2.1
sowie die SUSE Linux Enterprise Produkte Software Development Kit in den
Versionen 11 SP4, 12 SP1 und 12 SP2; Server in den Versionen 11 SP3 LTSS,
11 SP4, 12 LTSS, 12 SP1, 12 SP2, Server for SAP 12 und Server for
Raspberry Pi 12 SP2; Debuginfo in den Versionen 11-SP3 und 11 SP4 sowie
Desktop in Version 12 SP1 und 12 SP2 stehen Sicherheitsupdates zur
Behebung der Schwachstelle bereit.
Version 8 (27.02.2017):
Für Debian Jessie (stable) und Stretch (testing) stehen Sicherheitsupdates
für BIND bereit, um die Schwachstelle zu beheben. Durch die Updates wird
zusätzlich eine Regression behoben, die durch den Patch für CVE-2016-8864
(Debian Security Advisory DSA-3703-1) verursacht wurde.
Version 7 (23.02.2017):
F5 Networks informiert darüber, welche Produkte und Programmversionen von
der Schwachstelle in BIND betroffen sind. Unter anderem ist das
BIG-IP-Protocol Security Module (PSM) in Version 11.4.1 HF 8 und später
verwundbar. Hierfür stehen noch keine Sicherheitsupdates zur Verfügung. F5
Networks beschreibt im referenzierten Sicherheitshinweis einen Workaround
zur Mitigation der Schwachstelle.
Version 6 (17.02.2017):
Canonical stellt für Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 16.04 LTS
und Ubuntu 16.10 Sicherheitsupdates für das Paket ‘bind9’ bereit.
Version 5 (15.02.2017):
Für Oracle Linux 7 (x86_64) steht ebenfalls ein Sicherheitsupdate für ISC
BIND bereit.
Version 4 (15.02.2017):
Für die Red Hat Enterprise Linux 7 Produkte Desktop, Server, Workstation,
HPC Node sowie für Server TUS 7.3 stehen Sicherheitsupdates bereit.
Version 3 (13.02.2017):
Für Fedora 24 und 25 stehen mit den Paketen ‘bind-9.10.4-3.P6.fc24’ und
‘bind-9.10.4-4.P6.fc25’ Sicherheitsupdates im Status ‘testing’ bereit.
Version 2 (10.02.2017):
Das Internet Systems Consortium informiert in einer Aktualisierung des
referenzierten Sicherheitshinweises darüber, dass ISC BIND 9.8.8 ebenfalls
von der Schwachstelle betroffen ist. Für den Versionszweig 9.8.x werden
keine Sicherheitsupdates mehr zur Verfügung gestellt (End-of-Life
September 2014).
Version 1 (09.02.2017):
Neues Advisory

Betroffene Software:

ISC BIND 9.8.8
ISC BIND >= 9.9.3
ISC BIND <= 9.9.9-P5 ISC BIND 9.9.10b1 ISC BIND >= 9.10.0
ISC BIND <= 9.10.4-P5 ISC BIND 9.10.5b1 ISC BIND >= 9.11.0
ISC BIND <= 9.11.0-P2 ISC BIND 9.11.1b1 ISC BIND Supported Preview Edition >= 9.9.3-S1
ISC BIND Supported Preview Edition <= 9.9.9-S7 SUSE Linux Enterprise Debuginfo 11 SP3 SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 SUSE Linux Enterprise Software Development Kit 12 SP1 SUSE Linux Enterprise Software Development Kit 12 SP2 SUSE Manager 2.1 SUSE Manager Proxy 2.1 SUSE OpenStack Cloud 5 Betroffene Plattformen: F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.4.1 HF8
Canonical Ubuntu Linux 12.04 LTS
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 16.10
Debian Linux 8.7 Jessie
Debian Linux 9.0 Stretch
GNU/Linux
SUSE Linux Enterprise Desktop 12 SP1
SUSE Linux Enterprise Desktop 12 SP2
SUSE Linux Enterprise Server 11 SP3 LTSS
SUSE Linux Enterprise Server 11 SP4
SUSE Linux Enterprise Server 12 LTSS
SUSE Linux Enterprise Server for SAP 12
SUSE Linux Enterprise Server 12 SP1
SUSE Linux Enterprise Server 12 SP2
SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi
Oracle Linux 7
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server 7.3 TUS
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 24
Red Hat Fedora 25

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in
ISC BIND Servern, welche per Konfiguration sowohl Response Policy Zones
(RPZ) als auch DNS64 (als Methode AAAA Records aus A Records zu
synthetisieren) unterstützen, dazu ausnutzen, einen Denial-of-Service
(DoS)-Angriff gegen den Prozess ‘named’ durchzuführen. Dadurch werden
Anfragen von Klienten nicht weiter bearbeitet.

Das Internet Systems Consortium (ISC) informiert über die Schwachstellen und
veröffentlicht die neuen Programmversionen BIND 9.9.9-P6, 9.10.4-P6,
9.11.0-P3 und 9.9.9-S8 (letztere nur für ISC Support Kunden), in denen die
Schwachstellen behoben sind.

Workaround:

Die Schwachstelle kann durch Deaktivierung von DNS64 oder RPZ umgangen
werden, bis das Sicherheitsupdate eingespielt werden kann.

Patch:

ISC BIND Security Advisory ISC-BIND-AA-01453 (CVE-2017-3135)

https://kb.isc.org/article/AA-01453/0

Patch:

Fedora Security Update FEDORA-2017-27099c270a (Fedora 24,
bind-9.10.4-3.P6.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-27099c270a

Patch:

Fedora Security Update FEDORA-2017-2b46c8b6c2 (Fedora 25,
bind-9.10.4-4.P6.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-2b46c8b6c2

Patch:

Oracle Linux Security Advisory ELSA-2017-0276

https://linux.oracle.com/errata/ELSA-2017-0276.html

Patch:

Red Hat Security Advisory RHSA-2017:0276

http://rhn.redhat.com/errata/RHSA-2017-0276.html

Patch:

Ubuntu Security Notice USN-3201-1

http://www.ubuntu.com/usn/usn-3201-1/

Patch:

Debian Security Update DSA-3795-1

https://www.debian.org/security/2017/dsa-3795

Patch:

SUSE Security Update SUSE-SU-2017:0594-1

http://lists.suse.com/pipermail/sle-security-updates/2017-March/002672.html

Patch:

SUSE Security Update SUSE-SU-2017:0595-1

http://lists.suse.com/pipermail/sle-security-updates/2017-March/002673.html

Patch:

SUSE Security Update SUSE-SU-2017:0596-1

http://lists.suse.com/pipermail/sle-security-updates/2017-March/002674.html

CVE-2017-3135: Schwachstelle in BIND ermöglicht Denial-of-Service-Angriff

Wenn die Konfiguration eines Servers die gleichzeitige Verwendung der
DNS-Erweiterung DNS64 (‘Extensions for Network Address Translation from IPv6
Clients to IPv4 Servers’, RFC 6147) zur IPv6/IPv4-Übersetzung, als auch RPZ
(Domain Name Service Response Policy Zones) unterstützt, kann die
Verarbeitung von Anfragen (Queries) zu einem inkonsistenten Status führen,
wodurch es entweder zu einem INSIST Zusicherungsfehler (Assertion Failure)
und nachfolgendem Abbruch oder zu dem Versuch, durch einen NULL-Zeiger zu
lesen (NULL Pointer Read) kommen kann, infolgedessen auf den meisten
Systemen eine Schutzverletzung (Segmentation Fault, SEGFAULT) ausgelöst
wird; in beiden genannten Fällen wird der Prozess infolgedessen hart
beendet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0237/

ISC BIND Security Advisory ISC-BIND-AA-01453 (CVE-2017-3135):
https://kb.isc.org/article/AA-01453/0

Schwachstelle CVE-2017-3135 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3135

Fedora Security Update FEDORA-2017-27099c270a (Fedora 24,
bind-9.10.4-3.P6.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-27099c270a

Fedora Security Update FEDORA-2017-2b46c8b6c2 (Fedora 25,
bind-9.10.4-4.P6.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2b46c8b6c2

Oracle Linux Security Advisory ELSA-2017-0276:
https://linux.oracle.com/errata/ELSA-2017-0276.html

Red Hat Security Advisory RHSA-2017:0276:
http://rhn.redhat.com/errata/RHSA-2017-0276.html

Ubuntu Security Notice USN-3201-1:
http://www.ubuntu.com/usn/usn-3201-1/

F5 Networks Security Advisory K80533167: BIND vulnerability CVE-2017-3135
:
https://support.f5.com/csp/article/K80533167

Debian Security Update DSA-3795-1:
https://www.debian.org/security/2017/dsa-3795

SUSE Security Update SUSE-SU-2017:0594-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-March/002672.html

SUSE Security Update SUSE-SU-2017:0595-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-March/002673.html

SUSE Security Update SUSE-SU-2017:0596-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-March/002674.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.