Schwachstelle in DNS-Software BIND 9

24. Februar 2011

Denial-of-Service möglich mit BIND 9.7 - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie das Internet Software Consortium (ISC) bekannt gegeben hat, existiert in der verbreiteten Nameserver-Software BIND ein Problem, das für Denial-of-Service (DoS) Attacken ausgenützt werden kann.

Konkret besteht nach dem erfolgreichen Abarbeiten von IXFR-Anfragen bzw. dynamischen Updates ein kurzes Zeitfenster in dem ein Deadlock ausgelöst werden kann, wodurch BIND dann bis zu einem Neustart keine Anfragen mehr beantwortet.

Auswirkungen

Da DNS für die Auflösung von Namen in IP-Adressen zuständig ist, ist ein Nicht-Funktionieren dieses Dienstes für Endbenutzer oft von einem Nicht-Funktionieren des Internets an sich oder anderen Problemen nicht zu unterscheiden.

Wir erwarten, dass entsprechende Schadsoftware bzw. Proof-of-Concept - Exploits bald in Umlauf gebracht werden.

Betroffene Systeme

Laut ISC sind folgende Versionen betroffen:

• BIND 9.7.1-9.7.2-P3

Versionen 9.4.x, 9.6.x und 9.8.x sind nicht von diesem Problem betroffen.

Abhilfe

Upgrade auf die zur Verfügung gestellte Version 9.7.3 oder eine der nicht betroffenen Versionen (siehe http://www.isc.org/software/bind/advisories/cve-2011-0414).

Sollte ein Upgrade nicht oder nicht zeitnahn möglich sein, kann auch temporär nur ein einzelner Thread (Option -n 1) benutzt werden, dies kann allerdings die Performance beeinträchtigen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

---

Informationsquelle(n):

Meldung des ISC (englisch)
http://www.isc.org/software/bind/advisories/cve-2011-0414