[Unixoid/bind9] Schwachstelle in der DNS-Software BIND 9
(2012-06-04 17:15:10.210714+02) Druckversion
Quelle: http://www.isc.org/software/bind/advisories/cve-2012-1667
Eine Schwachstelle in der Verarbeitung von DNS records kann dazu führen, dass als rekursive DNS caches arbeitende BIND-Installationen abstürzen und/oder dem anfragenden System Teile des Hauptspeicherinhaltes des beherbergenden Systems offenbaren. Seconday Servers können nach Transfer einer korrupten Zonendatei in einen unbenutzbaren Zustand geraten. Unter besonderer Konfiguration können autoritative Nameserver als Verteiler korrupter Zonendateien fungieren. Neue Versionen von BIND 9 beheben das Problem.
Inhalt
- Zusammenfassung
- Betroffene Systeme
- Plattform
- Einfallstor
- Angriffsvoraussetzung
- Angriffsvektorklasse
- Auswirkung
- Typ der Verwundbarkeit
- Gefahrenpotential
- Beschreibung
- Workaround
- Gegenmaßnahmen
- Vulnerability ID
- Exploit Status
Zusammenfassung
- CVE-2012-1667:
Betroffen: BIND 9.0.x bis 9.6.x, 9.4-ESV bis 9.4-ESV-R5-P1, 9.6-ESV bis 9.6-ESV-R7, 9.7.0 bis 9.7.6, 9.8.0 bis 9.8.3, 9.9.0 bis 9.9.1 Plattform: Unixoide Systeme Einfallstor: DNS-Record Angriffsvoraussetzung: Netzwerk Angriffsvektorklasse: remote Auswirkung: denial of service, information leak Typ: Speicherverletzung Gefahrenpotential: mittel bis hoch CVSS Score: 8.5 Workaround: bislang nicht verfügbar Gegenmaßnahmen: neue Version: BIND 9.6-ESV-R7-P1, 9.7.6-P1, 9.8.3-P1, 9.9.1-P1 Vulnerability ID: CVE-2012-1667
Betroffene Systeme
- BIND 9.0.x bis 9.6.x
- BIND 9.4-ESV bis 9.4-ESV-R5-P1
- BIND 9.6-ESV bis 9.6-ESV-R7
- BIND 9.7.0 bis 9.7.6
- BIND 9.8.0 bis 9.8.3
- BIND 9.9.0 bis 9.9.1
Plattform
Einfallstor
- DNS-Record mit RDATA-Feldern der Länge Null
Angriffsvoraussetzung
- Zugriff auf ein Netzwerk, über das entsprechende Anfragen an
betroffene Systeme gesendet werden können.
(network)
Angriffsvektorklasse
-
über eine Netzwerkverbindung
(remote)
Auswirkung
-
Folgende Auswirkungen konnten bislang ermittelt werden:
- Absturz oder Versetzen der Nameserver-Installation in
einen unbenutzbaren Zustand
(denial of service) -
Auslesen von Teilen des Speichers des beherbergenden Systems
durch das anfragende System
(information leak)
Typ der Verwundbarkeit
- Speicherverletzung
(memory corruption)
Gefahrenpotential
- mittel bis hoch
- CVSS Score: 8.5 (Formel: AV:N/AC:L/Au:N/C:P/I:N/A:C)
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Eine Schwachstelle in der
DNS-Software
BIND 9
kann von einem Angreifer dazu
ausgenutzt werden, die Installation in einen unbenutzbaren Zustand zu
versetzen, zum Absturz zu bringen
oder Teile des Hauptspeichers des beherbergenden
Systems
auszulesen. Der verursachende Fehler tritt bei der Verarbeitung
von DNS-Records auf, die RDATA-Felder
der Länge Null besitzen.
Je nach Konfiguration und Art des Servers hat das Senden an und die Verarbeitung entsprechender Records durch eine betroffene Installation unterschiedliche Auswirkungen:
- Ein rekursiver Server kann zum Absturz gebracht werden und der Angreifer kann Teile des Speichers auslesen.
- Secondary Servers können nach dem Transfer einer Zone, die entsprechende Records enthält, in einen unbenutzbaren Zustand geraten, sobald sie neu gestartet werden. Eine mit einer solchen Zone versehene Installation stürzt direkt bei einem Neustart ab.
-
Autoritative Server sind nicht direkt betroffen sondern fungieren nur
als Verteiler gefährdender Zonendateien an Secondary Servers (s.
vorheriger Spiegelstrich). Zonen können entsprechende Effekte
hervorrufen, wenn ein Administrator auf einem Master die Option
auto-dnssecaufmaintainsetzt. - Weitere, bislang unbekannte Effekte sind möglich.
Der Hersteller der betroffenen Software (ISC) stellt neue Versionen bereit, die dieses Problem beheben.
Workaround
- Derzeit ist kein Workaround verfügbar.
Gegenmaßnahmen
- Installation einer Softwareversion, in der dieses Problem behoben ist:
- BIND 9.6-ESV-R7-P1
- BIND 9.7.6-P1
- BIND 9.8.3-P1
- BIND 9.9.1-P1
Vulnerability ID
Exploit Status
- Die Schwachstelle wurde bereits in Foren diskutiert,
jedoch wurden noch keine Angriffe beobachtet, die die Schwachstelle
ausnutzen.
(advertised)
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2013 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/
| Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.