Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1694

[Unixoid/bind9] Schwachstelle in der DNS-Software BIND 9
(2012-06-04 17:15:10.210714+02) Druckversion

Quelle: http://www.isc.org/software/bind/advisories/cve-2012-1667

Eine Schwachstelle in der Verarbeitung von DNS records kann dazu führen, dass als rekursive DNS caches arbeitende BIND-Installationen abstürzen und/oder dem anfragenden System Teile des Hauptspeicherinhaltes des beherbergenden Systems offenbaren. Seconday Servers können nach Transfer einer korrupten Zonendatei in einen unbenutzbaren Zustand geraten. Unter besonderer Konfiguration können autoritative Nameserver als Verteiler korrupter Zonendateien fungieren. Neue Versionen von BIND 9 beheben das Problem.

Inhalt

Zusammenfassung

  • CVE-2012-1667:
    Betroffen: BIND 9.0.x bis 9.6.x, 9.4-ESV bis 9.4-ESV-R5-P1, 9.6-ESV bis 9.6-ESV-R7, 9.7.0 bis 9.7.6, 9.8.0 bis 9.8.3, 9.9.0 bis 9.9.1
    Plattform: Unixoide Systeme
    Einfallstor: DNS-Record
    Angriffsvoraussetzung:Netzwerk
    Angriffsvektorklasse: remote
    Auswirkung: denial of service, information leak
    Typ: Speicherverletzung
    Gefahrenpotential: mittel bis hoch
    CVSS Score: 8.5
    Workaround: bislang nicht verfügbar
    Gegenmaßnahmen: neue Version: BIND 9.6-ESV-R7-P1, 9.7.6-P1, 9.8.3-P1, 9.9.1-P1
    Vulnerability ID: CVE-2012-1667

Betroffene Systeme

  • BIND 9.0.x bis 9.6.x
  • BIND 9.4-ESV bis 9.4-ESV-R5-P1
  • BIND 9.6-ESV bis 9.6-ESV-R7
  • BIND 9.7.0 bis 9.7.6
  • BIND 9.8.0 bis 9.8.3
  • BIND 9.9.0 bis 9.9.1

Plattform

Einfallstor

Angriffsvoraussetzung

  • Zugriff auf ein Netzwerk, über das entsprechende Anfragen an betroffene Systeme gesendet werden können.
    (network)

Angriffsvektorklasse

  • über eine Netzwerkverbindung
    (remote)

Auswirkung

    Folgende Auswirkungen konnten bislang ermittelt werden:
  • Absturz oder Versetzen der Nameserver-Installation in einen unbenutzbaren Zustand
    (denial of service)
  • Auslesen von Teilen des Speichers des beherbergenden Systems durch das anfragende System
    (information leak)

Typ der Verwundbarkeit

  • Speicherverletzung
    (memory corruption)

Gefahrenpotential

  • mittel bis hoch
  • CVSS Score: 8.5 (Formel: AV:N/AC:L/Au:N/C:P/I:N/A:C)

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Schwachstelle in der DNS-Software BIND 9 kann von einem Angreifer dazu ausgenutzt werden, die Installation in einen unbenutzbaren Zustand zu versetzen, zum Absturz zu bringen oder Teile des Hauptspeichers des beherbergenden Systems auszulesen. Der verursachende Fehler tritt bei der Verarbeitung von DNS-Records auf, die RDATA-Felder der Länge Null besitzen.

Je nach Konfiguration und Art des Servers hat das Senden an und die Verarbeitung entsprechender Records durch eine betroffene Installation unterschiedliche Auswirkungen:

  • Ein rekursiver Server kann zum Absturz gebracht werden und der Angreifer kann Teile des Speichers auslesen.
  • Secondary Servers können nach dem Transfer einer Zone, die entsprechende Records enthält, in einen unbenutzbaren Zustand geraten, sobald sie neu gestartet werden. Eine mit einer solchen Zone versehene Installation stürzt direkt bei einem Neustart ab.
  • Autoritative Server sind nicht direkt betroffen sondern fungieren nur als Verteiler gefährdender Zonendateien an Secondary Servers (s. vorheriger Spiegelstrich). Zonen können entsprechende Effekte hervorrufen, wenn ein Administrator auf einem Master die Option auto-dnssec auf maintain setzt.
  • Weitere, bislang unbekannte Effekte sind möglich.

Der Hersteller der betroffenen Software (ISC) stellt neue Versionen bereit, die dieses Problem beheben.

Workaround

  • Derzeit ist kein Workaround verfügbar.

Gegenmaßnahmen

Vulnerability ID

Exploit Status

  • Die Schwachstelle wurde bereits in Foren diskutiert, jedoch wurden noch keine Angriffe beobachtet, die die Schwachstelle ausnutzen.
    (advertised)
(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2014 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.