UPDATE: DFN-CERT-2017-1131 ISC BIND: Zwei Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][RedHat][SuSE][Unix][AIX][FreeBSD][Solaris][Windows][Netzwerk]

UPDATE: DFN-CERT-2017-1131 ISC BIND: Zwei Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][RedHat][SuSE][Unix][AIX][FreeBSD][Solaris][Windows][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 12 (09.11.2017):
Canonical stellt das Sicherheitsupdate für ‘bind9’, mit dem beide
Schwachstellen behoben werden, jetzt auch für Ubuntu 12.04 LTS (ESM) zur
Verfügung.
Version 11 (19.09.2017):
Canonical informiert mittels der Ubuntu Security Notice USN-3346-2
darüber, dass das über die Meldung USN-3346-1 veröffentlichte
Sicherheitsupdate über die Behebung der Schwachstelle CVE-2017-3142 eine
Regression eingeführt hat. Durch die Regression ist die Möglichkeit AXFR
(Asynchronous Full Transfer Zone) oder IXFR (Incremental Zone Transfer) zu
empfangen, wenn TSIG (Transaction SIGnature) genutzt wird und nicht jede
Nachricht signiert wird, eingeschränkt. Dieses Update USN-3346-2
korrigiert das problematische Verhalten und enthält außerdem den neuen
Root Zone Key Signing Key (KSK).
Version 10 (06.09.2017):
IBM informiert darüber, dass AIX 6.1 und 7.1 von den Schwachstellen
CVE-2017-3142 und CVE-2017-3143 in BIND betroffen sind und stellt
Sicherheitsupdates (Fixes und Interim Fixes) sowie Hinweise zu deren
Installation bereit.
Version 9 (10.08.2017):
Für Oracle Linux 7 (x86_64) steht ein neues Update für ‘bind’ bereit, mit
dem die beiden Schwachstellen adressiert werden.
Version 8 (24.07.2017):
Für Fedora 24 stehen die Pakete ‘dhcp-4.3.4-4.fc24’ und
‘bind99-9.9.10-2.P3.fc24’ als Sicherheitsupdates im Status ‘testing’
bereit.
Version 7 (10.07.2017):
Debian stellt für die ehemals stabile Distribution Jessie und die stabile
Distribution Stretch Backport-Sicherheitsupdates für ‘bind9’ bereit.
Version 6 (07.07.2017):
Für openSUSE Leap 42.2 stehen Sicherheitsupdates für ‘bind’ zur Verfügung.
Version 5 (06.07.2017):
Für Oracle VM 3.3 und 3.4 (x86_64) stehen Sicherheitsupdates für ‘bind’
zur Verfügung.
Version 4 (05.07.2017):
Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen nun
entsprechende Sicherheitsupdates für ‘bind’ zur Verfügung.
Version 3 (05.07.2017):
Red Hat hat für die Red Hat Enterprise Linux 6 und 7 Produktvarianten
Desktop, HPC Node, Server und Workstation sowie für Red Hat Enterprise
Linux Server Telecom Update Support (TUS) 7.3 Backport-Sicherheitsupdates
für ‘bind’ bereitgestellt, um diese Schwachstellen zu beheben.
Version 2 (03.07.2017):
Für Fedora 26 steht ein Sicherheitsupdate für ‘bind’ auf Version 9.11.1-P2
im Status ‘testing’ bereit.
Version 1 (30.06.2017):
Neues Advisory

Betroffene Software:

ISC BIND < 9.9.10-P2 ISC BIND < 9.10.5-P2 ISC BIND < 9.11.1-P2 ISC BIND Supported Preview Edition < 9.9.10-S3 ISC BIND Supported Preview Edition < 9.10.5-S3 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP3 SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 SUSE Linux Enterprise Software Development Kit 12 SP2 SUSE OpenStack Cloud 6 Canonical Ubuntu Linux 12.04 LTS (ESM) Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 16.10 Canonical Ubuntu Linux 17.04 Debian Linux 8.8 Jessie Debian Linux 9.0 Stretch FreeBSD GNU/Linux IBM AIX 6.1 IBM AIX 7.1 Microsoft Windows openSUSE Leap 42.2 SUSE Linux Enterprise Desktop 12 SP2 SUSE Linux Enterprise Server 11 SP3 LTSS SUSE Linux Enterprise Server 11 SP4 SUSE Linux Enterprise Server 12 LTSS SUSE Linux Enterprise Server for SAP 12 SUSE Linux Enterprise Server 12 SP1 LTSS SUSE Linux Enterprise Server for SAP 12 SP1 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi Oracle Linux 6 Oracle Linux 7 Oracle Solaris Oracle VM Server 3.3 Oracle VM Server 3.4 Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server 7.3 TUS Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 24 Red Hat Fedora 26 Zwei Schwachstellen in ISC BIND ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen der TSIG-Authentifizierung, wodurch dieser Zoneninformationen ausspähen, Zonendaten manipulieren und unautorisierte Zonentransfers initiieren kann. ISC veröffentlicht die Sicherheitshinweise ISC-BIND-AA-01503 (CVE-2017-3143) und ISC-BIND-AA-01504 (CVE-2017-3142) und stellt Sicherheitsupdates in Form der Versionen 9.9.10-P2, 9.10.5-P2 und 9.11.1-P2 sowie der BIND Supported Preview Edition 9.9.10-S3 und 9.10.5-S3 bereit. Canonical stellt Backport-Sicherheitsupdates für die Distributionen Ubuntu 17.04, Ubuntu 16.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS bereit, um diese Schwachstellen zu beheben. Für die SUSE Linux Enterprise Produkte Debuginfo 11 SP3 und 11 SP4, Software Development Kit 11 SP4 und 12 SP2, Desktop 12 SP2 sowie Server 11 SP3 LTSS, 11 SP4, 12 LTSS, 12 SP1 LTSS und 12 SP2, Server for Raspberry Pi 12 SP2, Server for SAP 12 und 12 SP1 sowie SUSE OpenStack Cloud 6 stehen ebenfalls Backport-Sicherheitsupdates zur Verfügung. Patch: ISC BIND Security Advisory ISC-BIND-AA-01503 (CVE-2017-3143) https://kb.isc.org/article/AA-01503/0

Patch:

SUSE Security Update SUSE-SU-2017:1736-1

http://lists.suse.com/pipermail/sle-security-updates/2017-June/002997.html

Patch:

SUSE Security Update SUSE-SU-2017:1737-1

http://lists.suse.com/pipermail/sle-security-updates/2017-June/002998.html

Patch:

SUSE Security Update SUSE-SU-2017:1738-1

http://lists.suse.com/pipermail/sle-security-updates/2017-June/002999.html

Patch:

Ubuntu Security Notice USN-3346-1

http://www.ubuntu.com/usn/usn-3346-1/

Patch:

Fedora Security Update FEDORA-2017-30f678e62a (bind-9.11.1-2.P2.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-30f678e62a

Patch:

Oracle Linux Security Advisory ELSA-2017-1679

https://linux.oracle.com/errata/ELSA-2017-1679.html

Patch:

Oracle Linux Security Advisory ELSA-2017-1680

https://linux.oracle.com/errata/ELSA-2017-1680.html

Patch:

Red Hat Security Advisory RHSA-2017:1679

http://rhn.redhat.com/errata/RHSA-2017-1679.html

Patch:

Red Hat Security Advisory RHSA-2017:1680

http://rhn.redhat.com/errata/RHSA-2017-1680.html

Patch:

Oracle VM Security Advisory OVMSA-2017-0122

https://linux.oracle.com/errata/OVMSA-2017-0122.html

Patch:

openSUSE Security Update openSUSE-SU-2017:1809-1

http://lists.opensuse.org/opensuse-updates/2017-07/msg00038.html

Patch:

Debian Security Advisory DSA-3904-1

https://www.debian.org/security/2017/dsa-3904

Patch:

Fedora Security Update FEDORA-2017-59127a606c (Fedora 24, dhcp-4.3.4-4,
bind99-9.9.10-2.P3)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-59127a606c

Patch:

Oracle Bug Fix Advisory ELBA-2017-2325

https://linux.oracle.com/errata/ELBA-2017-2325.html

Patch:

IBM Security Advisory bind_advisory16.asc

http://aix.software.ibm.com/aix/efixes/security/bind_advisory16.asc

Patch:

Ubuntu Security Notice USN-3346-2

http://www.ubuntu.com/usn/usn-3346-2/

Patch:

Ubuntu Security Notice USN-3346-3

http://www.ubuntu.com/usn/usn-3346-3/

CVE-2017-3143: Schwachstelle in BIND9 ermöglicht Umgehen von
Sicherheitsvorkehrungen und Manipulation von Daten

Ein Fehler in der TSIG (Transaction SIGnature)-Authentifizierung in BIND9
ermöglicht einem Angreifer, der in der Lage ist Nachrichten an einen
autoritativen DNS-Server zu senden beziehungsweise von diesem zu empfangen
und zusätzlich einen gültigen TSIG-Schlüsselnamen für die anvisierte Zone
und den Service kennt, die TSIG-Authentifizierung zu umgehen und BIND zu
manipulieren, wodurch nicht autorisierte dynamische Updates akzeptiert
werden. Über diese Technik können bösartige Zoneninhalte injiziert werden,
die es einem Angreifer dann ermöglichen weitere Angriffe durchzuführen. Ein
entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen und Daten manipulieren.

CVE-2017-3142: Schwachstelle in BIND9 ermöglicht Umgehen von
Sicherheitsvorkehrungen und Ausspähen von Informationen

Ein Fehler in der TSIG (Transaction SIGnature)-Authentifizierung in BIND9
ermöglicht einem Angreifer, der in der Lage ist Nachrichten an einen
autoritativen DNS-Server zu senden beziehungsweise von diesem zu empfangen
und zusätzlich einen gültigen TSIG-Schlüsselnamen kennt, die
TSIG-Authentifizierung für Zonentransfer (AXFR, Asynchronous Full Transfer
Zone)-Anfragen mit einer speziell präparierten Anfrage zu umgehen. Dies
ermöglicht es dem Angreifer einen Zonentransfer für einen nicht
autorisierten Empfänger bereitzustellen und darüber Informationen über die
Zone auszuspähen sowie gefälschte NOTIFY-Pakete zu versenden, wodurch ein
Zonentransfer von einem bösartigen Server ausgelöst werden kann. Ein
entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen und darüber weiteren Einfluss auf ein System ausüben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1131/

ISC BIND Security Advisory ISC-BIND-AA-01503 (CVE-2017-3143):
https://kb.isc.org/article/AA-01503/0

SUSE Security Update SUSE-SU-2017:1736-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-June/002997.html

SUSE Security Update SUSE-SU-2017:1737-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-June/002998.html

SUSE Security Update SUSE-SU-2017:1738-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-June/002999.html

Ubuntu Security Notice USN-3346-1:
http://www.ubuntu.com/usn/usn-3346-1/

Schwachstelle CVE-2017-3142 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3142

Schwachstelle CVE-2017-3143 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3143

Fedora Security Update FEDORA-2017-30f678e62a (bind-9.11.1-2.P2.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-30f678e62a

Oracle Linux Security Advisory ELSA-2017-1679:
https://linux.oracle.com/errata/ELSA-2017-1679.html

Oracle Linux Security Advisory ELSA-2017-1680:
https://linux.oracle.com/errata/ELSA-2017-1680.html

Red Hat Security Advisory RHSA-2017:1679:
http://rhn.redhat.com/errata/RHSA-2017-1679.html

Red Hat Security Advisory RHSA-2017:1680:
http://rhn.redhat.com/errata/RHSA-2017-1680.html

Oracle VM Security Advisory OVMSA-2017-0122:
https://linux.oracle.com/errata/OVMSA-2017-0122.html

openSUSE Security Update openSUSE-SU-2017:1809-1:
http://lists.opensuse.org/opensuse-updates/2017-07/msg00038.html

Debian Security Advisory DSA-3904-1:
https://www.debian.org/security/2017/dsa-3904

Fedora Security Update FEDORA-2017-59127a606c (Fedora 24, dhcp-4.3.4-4,
bind99-9.9.10-2.P3):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-59127a606c

Oracle Bug Fix Advisory ELBA-2017-2325:
https://linux.oracle.com/errata/ELBA-2017-2325.html

IBM Security Advisory bind_advisory16.asc:
http://aix.software.ibm.com/aix/efixes/security/bind_advisory16.asc

IBM PSIRT Blog: Vulnerabilities in BIND impact AIX (CVE-2017-3142,
CVE-2017-3143):
https://www.ibm.com/blogs/psirt/ibm-security-bulletin/

Ubuntu Security Notice USN-3346-2:
http://www.ubuntu.com/usn/usn-3346-2/

Ubuntu Security Notice USN-3346-3:
http://www.ubuntu.com/usn/usn-3346-3/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben