Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 16 (05.06.24):
IBM informiert in seinem Sicherheitshinweis darüber, dass ISC BIND auf AIX
7.2 und 7.3 sowie VIOS 3.1 und 4.1 von den Schwachstellen betroffen ist
und stellt als Sicherheitsupdate das Archiv ‘bind_fix26.tar’ zur
Verfügung.
Version 15 (08.05.24):
Für Oracle Linux 9 (x86_64, aarch64) stehen Sicherheitsupdates für ‘bind’
bereit, um die Schwachstellen zu beheben.
Version 14 (02.05.24):
Für CodeReady Linux Builder 9 (x86_64, aarch64), Red Hat CodeReady Linux
Builder – Extended Update Support 9.4 (x86_64, aarch64), Red Hat
Enterprise Linux 9 (x86_64, aarch64), Red Hat Enterprise Linux – Extended
Update Support 9.4 (x86_64, aarch64), Red Hat Enterprise Linux Server –
AUS 9.4 (x86_64) sowie Red Hat Enterprise Linux Server for ARM 64 – 4
years of updates 9.4 (aarch64) stehen Sicherheitsupdates für ‘bind’
bereit, um die Schwachstellen zu beheben.
Version 13 (15.04.24):
Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 – Extended Update
Support 9.0 und 9.2 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64
/ ARM 64 – Extended Update Support 9.0 und 9.2 (x86_64, aarch64), Red Hat
Enterprise Linux Server – AUS 9.2 (x86_64) sowie Red Hat Enterprise Linux
Server for ARM 64 – 4 years of updates 9.0 und 9.2 (aarch64) stehen
Sicherheitsupdates für ‘bind’ und ‘bind-dyndb-ldap’ bereit, um die
Schwachstellen zu beheben.
Version 12 (12.04.24):
Für Oracle Linux 8 (x86_64, aarch64) steht ein korrespondierendes
Sicherheitsupdate für ‘bind9.16’ bereit.
Version 11 (12.04.24):
Für Oracle Linux 9 (x86_64, aarch64) steht ein korrespondierendes
Sicherheitsupdate für ‘bind’ bereit.
Version 10 (12.04.24):
Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 9 (x86_64,
aarch64) und Red Hat Enterprise Linux for x86_64 / ARM 64 9 (x86_64,
aarch64) stehen Sicherheitsupdates für ‘bind’ bereit, um die
Schwachstellen zu beheben.
Version 9 (11.04.24):
Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 8 (x86_64,
aarch64) und Red Hat Enterprise Linux for x86_64 / ARM 64 8 (x86_64,
aarch64) stehen Sicherheitsupdates für ‘bind9.16’ bereit, um die
Schwachstellen zu beheben.
Version 8 (03.04.24):
Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 – Extended Update
Support 8.6 und 8.8 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64
/ ARM 64 – Extended Update Support 8.6 und 8.8 (x86_64, aarch64), Red Hat
Enterprise Linux Server – AUS 8.6 (x86_64) sowie Red Hat Enterprise Linux
Server – TUS 8.6 und 8.8 (x86_64) stehen Sicherheitsupdates für ‘bind9.16’
bereit, um die Schwachstellen zu beheben.
Version 7 (23.02.24):
Für openSUSE Leap 15.4, SUSE Linux Enterprise Desktop 15 SP4 LTSS, SUSE
Linux Enterprise High Performance Computing 15 SP4 und 15 SP4 ESPOS /
LTSS, SUSE Linux Enterprise Server 15 SP4 und 15 SP4 LTSS, SUSE Linux
Enterprise Server for SAP Applications 15 SP4 sowie SUSE Manager Proxy
4.3, SUSE Manager Retail Branch Server 4.3 und SUSE Manager Server 4.3
stehen Sicherheitsupdates für ‘bind’ auf Version 9.16.48 bereit, um die
Schwachstellen zu beheben.
Version 6 (21.02.24):
Für Basesystem Module 15 SP5, openSUSE Leap 15.5, Server Applications
Module 15 SP5, SUSE Linux Enterprise Desktop 15 SP5, SUSE Linux Enterprise
High Performance Computing 15 SP5, SUSE Linux Enterprise Real Time 15 SP5,
SUSE Linux Enterprise Server 15 SP5 und SUSE Linux Enterprise Server for
SAP Applications 15 SP5 stehen Sicherheitsupdates für ‘bind’ auf Version
9.16.48 bereit, um die Schwachstellen zu beheben.
Version 5 (20.02.24):
Canonical stellt für Ubuntu 20.04 LTS ein Sicherheitsupdate für ‘bind9’
bereit, womit alle hier referenzierten Schwachstellen mit Ausnahme von
CVE-2023-5679 adressiert werden.
Version 4 (19.02.24):
Für Fedora 38 und 39 stehen Sicherheitsupdates in Form von
‘bind-9.18.24-1’- und ‘bind9-next-9.19.21-1’-Paketen bereit, um die
Schwachstellen zu beheben. Das Paket ‘bind-9.18.24-1.fc39’ befindet sich
bereits im Status ‘stable’, während die anderen noch im Status ‘testing’
sind.
Version 3 (15.02.24):
Für Debian 11 Bullseye (oldstable) steht Version 1:9.16.48-1 und für
Debian 12 Bookworm (stable) steht Version 1:9.18.24-1 als
Sicherheitsupdate zur Behebung der Schwachstellen in ‘bind9’ zur
Verfügung.
Version 2 (14.02.24):
Canonical stellt für Ubuntu 23.10 und Ubuntu 22.04 LTS Sicherheitsupdates
für ‘bind9’ bereit, womit alle hier referenzierten Schwachstellen mit
Ausnahme von CVE-2023-6516 adressiert werden, welche nur den Versionszweig
9.16 betrifft.
Version 1 (13.02.24):
Neues Advisory
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
Denial-of-Service (DoS)-Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.
Der Hersteller stellt die Sicherheitsupdates 9.16.48 und 9.18.24 bereit um
die Schwachstellen zu beheben.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2024-0375]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
