Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (06.07.2017):
Für Oracle VM 3.3 und 3.4 (x86_64) stehen Sicherheitsupdates für ‘bind’
zur Verfügung.
Version 4 (05.07.2017):
Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen nun
entsprechende Sicherheitsupdates für ‘bind’ zur Verfügung.
Version 3 (05.07.2017):
Red Hat hat für die Red Hat Enterprise Linux 6 und 7 Produktvarianten
Desktop, HPC Node, Server und Workstation sowie für Red Hat Enterprise
Linux Server Telecom Update Support (TUS) 7.3 Backport-Sicherheitsupdates
für ‘bind’ bereitgestellt, um diese Schwachstellen zu beheben.
Version 2 (03.07.2017):
Für Fedora 26 steht ein Sicherheitsupdate für ‘bind’ auf Version 9.11.1-P2
im Status ‘testing’ bereit.
Version 1 (30.06.2017):
Neues Advisory
Betroffene Software:
ISC BIND < 9.9.10-P2 ISC BIND < 9.10.5-P2 ISC BIND < 9.11.1-P2 ISC BIND Supported Preview Edition < 9.9.10-S3 ISC BIND Supported Preview Edition < 9.10.5-S3 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP3 SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 SUSE Linux Enterprise Software Development Kit 12 SP2 SUSE OpenStack Cloud 6 Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 16.10 Canonical Ubuntu Linux 17.04 FreeBSD GNU/Linux Microsoft Windows SUSE Linux Enterprise Desktop 12 SP2 SUSE Linux Enterprise Server 11 SP3 LTSS SUSE Linux Enterprise Server 11 SP4 SUSE Linux Enterprise Server 12 LTSS SUSE Linux Enterprise Server for SAP 12 SUSE Linux Enterprise Server 12 SP1 LTSS SUSE Linux Enterprise Server for SAP 12 SP1 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi Oracle Linux 6 Oracle Linux 7 Oracle Solaris Oracle VM Server 3.3 Oracle VM Server 3.4 Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server 7.3 TUS Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 26 Zwei Schwachstellen in ISC BIND ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen der TSIG-Authentifizierung, wodurch dieser Zoneninformationen ausspähen, Zonendaten manipulieren und unautorisierte Zonentransfers initiieren kann. ISC veröffentlicht die Sicherheitshinweise ISC-BIND-AA-01503 (CVE-2017-3143) und ISC-BIND-AA-01504 (CVE-2017-3142) und stellt Sicherheitsupdates in Form der Versionen 9.9.10-P2, 9.10.5-P2 und 9.11.1-P2 sowie der BIND Supported Preview Edition 9.9.10-S3 und 9.10.5-S3 bereit. Canonical stellt Backport-Sicherheitsupdates für die Distributionen Ubuntu 17.04, Ubuntu 16.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS bereit, um diese Schwachstellen zu beheben. Für die SUSE Linux Enterprise Produkte Debuginfo 11 SP3 und 11 SP4, Software Development Kit 11 SP4 und 12 SP2, Desktop 12 SP2 sowie Server 11 SP3 LTSS, 11 SP4, 12 LTSS, 12 SP1 LTSS und 12 SP2, Server for Raspberry Pi 12 SP2, Server for SAP 12 und 12 SP1 sowie SUSE OpenStack Cloud 6 stehen ebenfalls Backport-Sicherheitsupdates zur Verfügung. Patch: ISC BIND Security Advisory ISC-BIND-AA-01503 (CVE-2017-3143) https://kb.isc.org/article/AA-01503/0
Patch:
SUSE Security Update SUSE-SU-2017:1736-1
http://lists.suse.com/pipermail/sle-security-updates/2017-June/002997.html
Patch:
SUSE Security Update SUSE-SU-2017:1737-1
http://lists.suse.com/pipermail/sle-security-updates/2017-June/002998.html
Patch:
SUSE Security Update SUSE-SU-2017:1738-1
http://lists.suse.com/pipermail/sle-security-updates/2017-June/002999.html
Patch:
Ubuntu Security Notice USN-3346-1
http://www.ubuntu.com/usn/usn-3346-1/
Patch:
Fedora Security Update FEDORA-2017-30f678e62a (bind-9.11.1-2.P2.fc26)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-30f678e62a
Patch:
Oracle Linux Security Advisory ELSA-2017-1679
https://linux.oracle.com/errata/ELSA-2017-1679.html
Patch:
Oracle Linux Security Advisory ELSA-2017-1680
https://linux.oracle.com/errata/ELSA-2017-1680.html
Patch:
Red Hat Security Advisory RHSA-2017:1679
http://rhn.redhat.com/errata/RHSA-2017-1679.html
Patch:
Red Hat Security Advisory RHSA-2017:1680
http://rhn.redhat.com/errata/RHSA-2017-1680.html
Patch:
Oracle VM Security Advisory OVMSA-2017-0122
https://linux.oracle.com/errata/OVMSA-2017-0122.html
CVE-2017-3143: Schwachstelle in BIND9 ermöglicht Umgehen von
Sicherheitsvorkehrungen und Manipulation von Daten
Ein Fehler in der TSIG (Transaction SIGnature)-Authentifizierung in BIND9
ermöglicht einem Angreifer, der in der Lage ist Nachrichten an einen
autoritativen DNS-Server zu senden beziehungsweise von diesem zu empfangen
und zusätzlich einen gültigen TSIG-Schlüsselnamen für die anvisierte Zone
und den Service kennt, die TSIG-Authentifizierung zu umgehen und BIND zu
manipulieren, wodurch nicht autorisierte dynamische Updates akzeptiert
werden. Über diese Technik können bösartige Zoneninhalte injiziert werden,
die es einem Angreifer dann ermöglichen weitere Angriffe durchzuführen. Ein
entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen und Daten manipulieren.
CVE-2017-3142: Schwachstelle in BIND9 ermöglicht Umgehen von
Sicherheitsvorkehrungen und Ausspähen von Informationen
Ein Fehler in der TSIG (Transaction SIGnature)-Authentifizierung in BIND9
ermöglicht einem Angreifer, der in der Lage ist Nachrichten an einen
autoritativen DNS-Server zu senden beziehungsweise von diesem zu empfangen
und zusätzlich einen gültigen TSIG-Schlüsselnamen kennt, die
TSIG-Authentifizierung für Zonentransfer (AXFR, Asynchronous Full Transfer
Zone)-Anfragen mit einer speziell präparierten Anfrage zu umgehen. Dies
ermöglicht es dem Angreifer einen Zonentransfer für einen nicht
autorisierten Empfänger bereitzustellen und darüber Informationen über die
Zone auszuspähen sowie gefälschte NOTIFY-Pakete zu versenden, wodurch ein
Zonentransfer von einem bösartigen Server ausgelöst werden kann. Ein
entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen und darüber weiteren Einfluss auf ein System ausüben.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1131/
ISC BIND Security Advisory ISC-BIND-AA-01503 (CVE-2017-3143):
https://kb.isc.org/article/AA-01503/0
SUSE Security Update SUSE-SU-2017:1736-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-June/002997.html
SUSE Security Update SUSE-SU-2017:1737-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-June/002998.html
SUSE Security Update SUSE-SU-2017:1738-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-June/002999.html
Ubuntu Security Notice USN-3346-1:
http://www.ubuntu.com/usn/usn-3346-1/
Schwachstelle CVE-2017-3142 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3142
Schwachstelle CVE-2017-3143 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3143
Fedora Security Update FEDORA-2017-30f678e62a (bind-9.11.1-2.P2.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-30f678e62a
Oracle Linux Security Advisory ELSA-2017-1679:
https://linux.oracle.com/errata/ELSA-2017-1679.html
Oracle Linux Security Advisory ELSA-2017-1680:
https://linux.oracle.com/errata/ELSA-2017-1680.html
Red Hat Security Advisory RHSA-2017:1679:
http://rhn.redhat.com/errata/RHSA-2017-1679.html
Red Hat Security Advisory RHSA-2017:1680:
http://rhn.redhat.com/errata/RHSA-2017-1680.html
Oracle VM Security Advisory OVMSA-2017-0122:
https://linux.oracle.com/errata/OVMSA-2017-0122.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
