You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1016

[Generic/BIND] Neue, teilweise kritische Schwachstellen
(2002-11-13 14:24:22.514833+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/vulnwatch/2002/11/msg00022.html

In BIND 4 und 8 wurde eine Reihe von Schwachstellen entdeckt, die teilweise kritisch sind.

Betroffene Systeme

  • Systeme, die BIND 4 bis Version 4.9.10 einsetzen.
  • Systeme, die BIND 8.2.x bis Version 8.2.6 einsetzen.
  • Systeme, die BIND 8.3.x bis Version 8.3.3 einsetzen.
(Jeweils ist die genante Versionsnummer ebenfalls beetroffen.)

Insgesamt werden im folgenden drei Schwachstellen beschrieben. Sie verteilen sich wie folgt auf die unterschiedlichen BIND-Versionen:

  1. BIND 4 und BIND 8 ("SIG Cached RR Overflow Vulnerability")
  2. BIND 8 ("OPT DoS")
  3. BIND 8 ("IG Expiry Time DoS")

Nicht betroffene Systeme

  • Systeme, die BIND 9 verwenden.

Einfallstor

  1. Der Angreifer muß eine DNS-Zone kontrollieren (eine leicht zu erfüllende Voraussetzung) und die Zwischenspeicherung von Resource Records (RRs) auslösen können. Dazu ist es erforderlich, daß BIND als rekursiver Resolver betrieben wird (d.h. als DNS-Resolver für Clients). Es ist wahrscheinlich möglich, die Zwischenspeicherung auszulösen, auch wenn der Angreifer nicht direkt rekursive Anfragen stellen kann.
  2. Der Angreifer muß wahrscheinlich in der Lage sein, rekursive Anfragen an den DNS-Server zu stellen, der als Resolver fungieren muß.
  3. Der Angreifer muß eine DNS-Zone kontrollieren und die Zwischenspeicherung von Resource Records auslösen können.

Auswirkung

  1. Ausführung von beliebigen Programmcode mit den Rechten des BIND-Serverprozesses (allzu häufig sind dies root-Rechte)
  2. Denial of Service (DoS)
  3. Denial of Service (DoS)

Typ der Verwundbarkeit

  1. buffer overflow bug
  2. buffer overflow bug
  3. memory management bug

Gefahrenpotential

  1. sehr hoch
  2. hoch
  3. hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

  1. Die erste Schwachstelle betrifft laut ISC und dem Entdecker der Schwachstelle (ISS) die Zwischenspeicherung von SIG-Resource-Records durch BIND 4 und 8. Zwar werden SIG-RRs nur bei DNSSEC verwendet, es scheint aber für die Schwachstelle unerheblich zu sein, ob DNSSEC-Unterstützung in BIND 8 einkompiliert ist oder nicht.

    Diese Schwachstelle wird nur dann akut, wenn der DNS-Server als rekursiver Resolver fungiert, d.h. wenn er DNS-Anfragen von Clients beantwortet. Der Angriff ist auf jeden Fall dann möglich, wenn direkt rekursive Anfragen an den Server geschickt werden können. Es ist dann offenbar möglich, beliebigen Code auszuführen, typischerweise mit root-Rechten (remote root compromise).

  2. Eine weitere Schwachstelle betrifft die Verarbeitung von EDNS-Anfragen (mit großen UDP-Paketen). Eine interne Prüfung in BIND 8 kann fehlschlagen und den Server-Prozeß beenden. Zwar steht im ISC-Advisory zu dieser Schwachstelle in der Einleitung, daß dadurch beliebiger Programmcode ausgeführt werden könne, dies ist jedoch wahrscheinlich falsch, d.h. es kann nur der BIND-Prozeß zum Absturz gebracht werden.

    Um diese Schwachstelle auszunutzen, ist es wohl erforderlich, daß BIND als rekursiver Resolver konfiguriert ist und der Angreifer rekursive Anfragen an BIND stellen kann.

  3. Die letzte Schwachstelle betrifft die Zwischenspeicherung von SIG-RRs durch BIND 8. Ungültige SIG-RRs werden nicht korrekt aus dem Cache entfernt, wodurch es u.U. zur Dereferenzierung eines Null-Zeigers kommen kann. Dadurch stürzt der BIND-Server-Prozeß ab.

    Wieder muß BIND als rekursiver Resolver konfiguriert sein, damit die Schwachstelle akut wird.

Der unten angegebene Patch behebt noch weitere Fehler, von denen im Moment aber nicht bekannt ist, ob sie Sicherheitslöcher darstellen oder nicht.

Workaround

  • Abschalten der Verarbeitung rekursiver Anfragen, falls dieser Dienst nicht benötigt wird.
Das Einschränken rekursiver Anfragen auf die eigenen Netze ist zwar sinnvoll, es ist aber fraglich, ob es bei den gegenwärtigen Schwachstellen überhaupt gegen Angriffe von außen hilft.

Gegenmaßnahmen

  • Einspielen der Patches von ISC. Diese Patches werden inzwischen auch von ISC uneingeschränkt verbreitet. Sie berücksichtigen auch eine ältere Schwachstelle in der BIND-4-Resolverbibliothek, die jedoch für den Server-Betrieb nicht von Belang ist.

    ISC zierte sich zunächst, diese Patches zu veröffentlichen und verteilte sie nur auf Anfrage per E-Mail an (mehr oder weniger) ausgewählte Personen. Das RUS-CERT hält es für verantwortungslos, wie diese Patches zurückgehalten wurden, zumal sie schon Anfang November einem größeren Personenkreis zugänglich gemacht wurden (jedoch nicht BIND-Distributoren wie FreeBSD).

  • Upgrade auf die (angekündigten) BIND-Versionen 4.9.11, 8.2.7 und 8.3.4, die entgegen von Zusagen von ISC zum Zeitpunkt der Veröffentlichung dieser Meldung noch immer nicht verfügbar sind.

  • Upgrade auf BIND 9.

    Achtung: BIND 9 ist nicht vollständig rückwärtskompatibel zu BIND 8. Die Prüfung von DNS-Zonen bei BIND 9 orientiert sich deutlicher an den RFCs und ist strenger als bei BIND 8, so daß einige Zonen sich nicht mehr laden lassen.

Vulnerability ID

Revisionen dieser Meldung

  • V1.0 (2002-11-13)
  • V.1.1 (2002-11-15) ISC veröffentlicht nun ebenfalls die Patches.
(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.