Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (22.01.2018):
Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen jetzt
ebenfalls Sicherheitsupdates für ‘bind’ zur Behebung der Schwachstelle
bereit.
Version 3 (22.01.2018):
Red Hat stellt für die Produktvarianten Red Hat Enterprise Linux Server,
Workstation und Desktop 6 (32- und 64-Bit) sowie Scientific Computing 6
und für Red Hat Enterprise Linux Server 7, EUS 7.4, EUS Compute Node 7.4,
4 Year EUS 7.4, AUS 7.4, TUS 7.4, Desktop 7, Workstation 7, Scientific
Computing 7 sowie Enterprise Linux for ARM 64 Version 7 Sicherheitsupdates
zur Behebung der Schwachstellen bereit.
Version 2 (22.01.2018):
Für Fedora 26 und 27 stehen die Pakete ‘bind-9.11.2-1.P1.fc26’,
‘bind-dyndb-ldap-11.1-6.fc26’, ‘dnsperf-2.1.0.0-8.fc26’ sowie
‘bind-9.11.2-1.P1.fc27’, ‘bind-dyndb-ldap-11.1-8.fc27’ und
‘dnsperf-2.1.0.0-11.fc27’ als Sicherheitsupdates im Status ‘testing’
bereit.
Version 1 (17.01.2018):
Neues Advisory

Betroffene Software:

ISC BIND < 9.9.11-P1 ISC BIND < 9.10.6-P1 ISC BIND < 9.11.2-P1 ISC BIND Supported Preview Edition < 9.9.11-S2 ISC BIND Supported Preview Edition < 9.10.6-S2 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 LTS (ESM) Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.10 Debian Linux 8.10 Jessie Debian Linux 9.3 Stretch Oracle Linux 6 Oracle Linux 7 Red Hat Enterprise Linux for Scientific Computing 6 Red Hat Enterprise Linux for Scientific Computing 7 Red Hat Enterprise Linux 7.4 EUS Compute Node Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server for ARM 7 Red Hat Enterprise Linux Server 4 Year Extended Update Support 7.4 Red Hat Enterprise Linux Server 7.4 AUS Red Hat Enterprise Linux Server 7.4 EUS Red Hat Enterprise Linux Server 7.4 TUS Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 26 Red Hat Fedora 27 Eine Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffes und dadurch Kontrolle über die Verfügbarkeit des DNS-Servers. Hierdurch schränkt der Angreifer auch für andere Benutzer, welche diesen DNS-Server verwenden, die Verfügbarkeit von Webseiten ein, da URLs nicht mehr in eine korrespondierende IP-Adresse übersetzt werden können und somit diese Webseiten nicht erreichbar sind. ISC stellt die BIND Versionen 9.9.11-P1, 9.10.6-P1 und 9.11.2-P1 sowie die Supported Preview Edition Versionen 9.9.11-S2 und 9.10.6-S2 als Sicherheitsupdates zur Behebung der Schwachstelle zur Verfügung. Debian stellt Backport-Sicherheitsupdates für die Distributionen Jessie (oldstable) 8.10 und Stretch (stable) 9.3 zur Behebung der Schwachstelle bereit. Canonical stellt für die Distributionen Ubuntu 17.10, Ubuntu 16.04 LTS, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS (ESM) ebenfalls Backport-Sicherheitsupdates bereit. Patch: Debian Security Advisory DSA-4089-1 https://www.debian.org/security/2018/dsa-4089

Patch:

ISC BIND Release 9.10.6-P1

https://kb.isc.org/article/AA-01548/81/BIND-9.10.6-P1-Release-Notes.html

Patch:

ISC BIND Release 9.11.2-P1

https://kb.isc.org/article/AA-01550/81/BIND-9.11.2-P1-Release-Notes.html

Patch:

ISC BIND Release 9.9.11-P1

https://kb.isc.org/article/AA-01549/81/BIND-9.9.11-P1-Release-Notes.html

Patch:

ISC BIND Security Advisory ISC-BIND-AA-01542

https://kb.isc.org/article/AA-01542/0

Patch:

Ubuntu Security Notice USN-3535-1

http://www.ubuntu.com/usn/usn-3535-1/

Patch:

Ubuntu Security Notice USN-3535-2

http://www.ubuntu.com/usn/usn-3535-2/

Patch:

Fedora Security Update FEDORA-2018-6550550774 (Fedora 26,
bind-9.11.2-1.P1.fc26, bind-dyndb-ldap-11.1-6.fc26,dnsperf-2.1.0.0-8.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-6550550774

Patch:

Fedora Security Update FEDORA-2018-97bdb9ba32 (Fedora 27,
bind-9.11.2-1.P1.fc27, bind-dyndb-ldap-11.1-8.fc27, dnsperf-2.1.0.0-11.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-97bdb9ba32

Patch:

Oracle Linux Security Advisory ELSA-2018-0101

https://linux.oracle.com/errata/ELSA-2018-0101.html

Patch:

Oracle Linux Security Advisory ELSA-2018-0102

https://linux.oracle.com/errata/ELSA-2018-0102.html

Patch:

Red Hat Security Advisory RHSA-2018:0101

https://access.redhat.com/errata/RHSA-2018:0101

Patch:

Red Hat Security Advisory RHSA-2018:0102

https://access.redhat.com/errata/RHSA-2018:0102

CVE-2017-3145: Schwachstelle in ISC BIND ermöglicht
Denial-of-Service-Angriff

Im DNS-Server ISC BIND mit konfigurierter DNSSEC-Validation existiert eine
Schwachstelle aufgrund ungenügender Bereinigung von Variablen nach
vorgeschalteten rekursiven Aktualisierungen. Dies führt unter Umständen zur
Nutzung bereits freigegebenen Speichers (Use-After-Free) und damit zum
Absturz des DNS-Servers. Die Schwachstelle existiert in BIND seit der
Version 9.0.0, kann aber nur seit der Behebung der Schwachstelle
CVE-2017-3137 ausgenutzt werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0105/

Debian Security Advisory DSA-4089-1:
https://www.debian.org/security/2018/dsa-4089

ISC BIND Release 9.10.6-P1:
https://kb.isc.org/article/AA-01548/81/BIND-9.10.6-P1-Release-Notes.html

ISC BIND Release 9.11.2-P1:
https://kb.isc.org/article/AA-01550/81/BIND-9.11.2-P1-Release-Notes.html

ISC BIND Release 9.9.11-P1:
https://kb.isc.org/article/AA-01549/81/BIND-9.9.11-P1-Release-Notes.html

ISC BIND Security Advisory ISC-BIND-AA-01542:
https://kb.isc.org/article/AA-01542/0

Ubuntu Security Notice USN-3535-1:
http://www.ubuntu.com/usn/usn-3535-1/

Ubuntu Security Notice USN-3535-2:
http://www.ubuntu.com/usn/usn-3535-2/

Schwachstelle CVE-2017-3145 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3145

Fedora Security Update FEDORA-2018-6550550774 (Fedora 26,
bind-9.11.2-1.P1.fc26, bind-dyndb-ldap-11.1-6.fc26,dnsperf-2.1.0.0-8.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-6550550774

Fedora Security Update FEDORA-2018-97bdb9ba32 (Fedora 27,
bind-9.11.2-1.P1.fc27, bind-dyndb-ldap-11.1-8.fc27, dnsperf-2.1.0.0-11.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-97bdb9ba32

Oracle Linux Security Advisory ELSA-2018-0101:
https://linux.oracle.com/errata/ELSA-2018-0101.html

Oracle Linux Security Advisory ELSA-2018-0102:
https://linux.oracle.com/errata/ELSA-2018-0102.html

Red Hat Security Advisory RHSA-2018:0101:
https://access.redhat.com/errata/RHSA-2018:0101

Red Hat Security Advisory RHSA-2018:0102:
https://access.redhat.com/errata/RHSA-2018:0102

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (22.01.2018):
Red Hat stellt für die Produktvarianten Red Hat Enterprise Linux Server,
Workstation und Desktop 6 (32- und 64-Bit) sowie Scientific Computing 6
und für Red Hat Enterprise Linux Server 7, EUS 7.4, EUS Compute Node 7.4,
4 Year EUS 7.4, AUS 7.4, TUS 7.4, Desktop 7, Workstation 7, Scientific
Computing 7 sowie Enterprise Linux for ARM 64 Version 7 Sicherheitsupdates
zur Behebung der Schwachstellen bereit.
Version 2 (22.01.2018):
Für Fedora 26 und 27 stehen die Pakete ‘bind-9.11.2-1.P1.fc26’,
‘bind-dyndb-ldap-11.1-6.fc26’, ‘dnsperf-2.1.0.0-8.fc26’ sowie
‘bind-9.11.2-1.P1.fc27’, ‘bind-dyndb-ldap-11.1-8.fc27’ und
‘dnsperf-2.1.0.0-11.fc27’ als Sicherheitsupdates im Status ‘testing’
bereit.
Version 1 (17.01.2018):
Neues Advisory

Betroffene Software:

ISC BIND < 9.9.11-P1 ISC BIND < 9.10.6-P1 ISC BIND < 9.11.2-P1 ISC BIND Supported Preview Edition < 9.9.11-S2 ISC BIND Supported Preview Edition < 9.10.6-S2 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 LTS (ESM) Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.10 Debian Linux 8.10 Jessie Debian Linux 9.3 Stretch Red Hat Enterprise Linux for Scientific Computing 6 Red Hat Enterprise Linux for Scientific Computing 7 Red Hat Enterprise Linux 7.4 EUS Compute Node Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server for ARM 7 Red Hat Enterprise Linux Server 4 Year Extended Update Support 7.4 Red Hat Enterprise Linux Server 7.4 AUS Red Hat Enterprise Linux Server 7.4 EUS Red Hat Enterprise Linux Server 7.4 TUS Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 26 Red Hat Fedora 27 Eine Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffes und dadurch Kontrolle über die Verfügbarkeit des DNS-Servers. Hierdurch schränkt der Angreifer auch für andere Benutzer, welche diesen DNS-Server verwenden, die Verfügbarkeit von Webseiten ein, da URLs nicht mehr in eine korrespondierende IP-Adresse übersetzt werden können und somit diese Webseiten nicht erreichbar sind. ISC stellt die BIND Versionen 9.9.11-P1, 9.10.6-P1 und 9.11.2-P1 sowie die Supported Preview Edition Versionen 9.9.11-S2 und 9.10.6-S2 als Sicherheitsupdates zur Behebung der Schwachstelle zur Verfügung. Debian stellt Backport-Sicherheitsupdates für die Distributionen Jessie (oldstable) 8.10 und Stretch (stable) 9.3 zur Behebung der Schwachstelle bereit. Canonical stellt für die Distributionen Ubuntu 17.10, Ubuntu 16.04 LTS, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS (ESM) ebenfalls Backport-Sicherheitsupdates bereit. Patch: Debian Security Advisory DSA-4089-1 https://www.debian.org/security/2018/dsa-4089

Patch:

ISC BIND Release 9.10.6-P1

https://kb.isc.org/article/AA-01548/81/BIND-9.10.6-P1-Release-Notes.html

Patch:

ISC BIND Release 9.11.2-P1

https://kb.isc.org/article/AA-01550/81/BIND-9.11.2-P1-Release-Notes.html

Patch:

ISC BIND Release 9.9.11-P1

https://kb.isc.org/article/AA-01549/81/BIND-9.9.11-P1-Release-Notes.html

Patch:

ISC BIND Security Advisory ISC-BIND-AA-01542

https://kb.isc.org/article/AA-01542/0

Patch:

Ubuntu Security Notice USN-3535-1

http://www.ubuntu.com/usn/usn-3535-1/

Patch:

Ubuntu Security Notice USN-3535-2

http://www.ubuntu.com/usn/usn-3535-2/

Patch:

Fedora Security Update FEDORA-2018-6550550774 (Fedora 26,
bind-9.11.2-1.P1.fc26, bind-dyndb-ldap-11.1-6.fc26,dnsperf-2.1.0.0-8.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-6550550774

Patch:

Fedora Security Update FEDORA-2018-97bdb9ba32 (Fedora 27,
bind-9.11.2-1.P1.fc27, bind-dyndb-ldap-11.1-8.fc27, dnsperf-2.1.0.0-11.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-97bdb9ba32

Patch:

Red Hat Security Advisory RHSA-2018:0101

https://access.redhat.com/errata/RHSA-2018:0101

Patch:

Red Hat Security Advisory RHSA-2018:0102

https://access.redhat.com/errata/RHSA-2018:0102

CVE-2017-3145: Schwachstelle in ISC BIND ermöglicht
Denial-of-Service-Angriff

Im DNS-Server ISC BIND mit konfigurierter DNSSEC-Validation existiert eine
Schwachstelle aufgrund ungenügender Bereinigung von Variablen nach
vorgeschalteten rekursiven Aktualisierungen. Dies führt unter Umständen zur
Nutzung bereits freigegebenen Speichers (Use-After-Free) und damit zum
Absturz des DNS-Servers. Die Schwachstelle existiert in BIND seit der
Version 9.0.0, kann aber nur seit der Behebung der Schwachstelle
CVE-2017-3137 ausgenutzt werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0105/

Debian Security Advisory DSA-4089-1:
https://www.debian.org/security/2018/dsa-4089

ISC BIND Release 9.10.6-P1:
https://kb.isc.org/article/AA-01548/81/BIND-9.10.6-P1-Release-Notes.html

ISC BIND Release 9.11.2-P1:
https://kb.isc.org/article/AA-01550/81/BIND-9.11.2-P1-Release-Notes.html

ISC BIND Release 9.9.11-P1:
https://kb.isc.org/article/AA-01549/81/BIND-9.9.11-P1-Release-Notes.html

ISC BIND Security Advisory ISC-BIND-AA-01542:
https://kb.isc.org/article/AA-01542/0

Ubuntu Security Notice USN-3535-1:
http://www.ubuntu.com/usn/usn-3535-1/

Ubuntu Security Notice USN-3535-2:
http://www.ubuntu.com/usn/usn-3535-2/

Schwachstelle CVE-2017-3145 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3145

Fedora Security Update FEDORA-2018-6550550774 (Fedora 26,
bind-9.11.2-1.P1.fc26, bind-dyndb-ldap-11.1-6.fc26,dnsperf-2.1.0.0-8.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-6550550774

Fedora Security Update FEDORA-2018-97bdb9ba32 (Fedora 27,
bind-9.11.2-1.P1.fc27, bind-dyndb-ldap-11.1-8.fc27, dnsperf-2.1.0.0-11.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-97bdb9ba32

Red Hat Security Advisory RHSA-2018:0101:
https://access.redhat.com/errata/RHSA-2018:0101

Red Hat Security Advisory RHSA-2018:0102:
https://access.redhat.com/errata/RHSA-2018:0102

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.