Eine Schwachstelle in der DNS-Server-Software BIND 9 kann von einem Angreifer dazu ausgenutzt werden, einen betroffenen Server (named) in einen unbenutzbaren Zustand zu versetzen oder zum Absturz zu bringen. Der Fehler tritt bei der Verarbeitung rekursiver Anfragen auf. Derzeit ist jedoch noch unbekannt, welche Mechanismen ihm im Detail zugrunde liegen. Der Softwarehersteller ISC stellt zunächst einen Patch bereit, der die Auslösung des Fehlers verhindert und untersucht die Umstände genauer, um zu einem späteren Zeitpunkt einen Patch zur Behebung der Schwachstelle bereitstellen zu können. Es wird empfohlen, diesen Patch zu installieren.

Inhalt

• Zusammenfassung
• Betroffene Systeme
• Plattform
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Angriffssignatur
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Beschreibung
• Workaround
• Gegenmaßnahmen
• Vulnerability ID

Zusammenfassung

• CVE-2011-4313:
  

  Betroffen:	ISC BIND 9.4-ESV, 9.6-ESV, 9.7.x, 9.8.x
  Plattform:	Unixoide Systeme
  Einfallstor:	derzeit unbekannt, jedoch offenbar in Zusammenhang mit der Bearbeitung rekursiver Namensauflösung
  Angriffsvoraussetzung:	Netzwerk
  Angriffsvektorklasse:	remote
  Auswirkung:	Denial of Service
  Typ:	Speicherverletzung
  Gefahrenpotential:	mittel bis hoch
  CVSS Score:	7.8
  Workaround:	Patch
  Gegenmaßnahmen:	neue Version sobald verfügbar
  Vulnerability ID:	CVE-2011-4313

Betroffene Systeme

• Alle derzeit aktuellen und gewarteten Versionen:
  • BIND 9.4-ESV
  • BIND 9.6-ESV
  • BIND 9.7.x
  • BIND 9.8.x
• Vermutlich alle früheren Versionen

Plattform

• Unixoide Systeme

Einfallstor

• Derzeit unbekannt
  Der Fehler tritt jedoch nach derzeitigem Wissen bei der Bearbeitung rekursiver Namensauflösung auf.

Angriffsvoraussetzung

• Vermutlich ist es ausreichend, wenn der Angreifer Zugriff auf ein Netzwerk hat, über das er Anfragen an einen betroffenen Server richten kann.
  (network)

Angriffsvektorklasse

• über eine Netzwerkverbindung
  (remote)

Angriffssignatur

• Bei Auftreten des Fehlers wird folgende Zeile in das Anfragelog von BIND geschrieben:

    INSIST(! dns_rdataset_isassociated(sigrdataset))
    

Auswirkung

• Versetzen des betroffenen Nameservers in einen unbenutzbaren Zustand, bzw. Absturz der Anwendung
  (Denial of Service)
• Weiteres ist derzeit nicht bekannt.

Typ der Verwundbarkeit

• Speicherverletzung
  (memory corruption)

Gefahrenpotential

• mittel bis hoch
• CVSS Score: 7.8

Beschreibung

Eine Schwachstelle in BIND 9 kann von einem Angreifer dazu ausgenutzt werden, den Nameserver (named) in einen unbenutzbaren Zustand zu versetzen, bzw. ihn zum Absturz zu bringen. Derzeit ist nicht bekannt, welches Ereignis dieses Verhalten auslöst. Bekannt ist jedoch, dass der Fehler bei der Bearbeitung von rekursiven Namensauflösungen auftritt.

Workaround

• ISC stellt Patches zur Verhinderung der Ausnutzung der Schwachstelle bereit, die das Problem jedoch nicht ursächlich beheben und emfiehlt deren Installation bis zum Erscheinen eines das Problem lösenden Patches oder einer neuen Version:
  • https://www.isc.org/software/bind/981-p1
  • https://www.isc.org/software/bind/974-p1
  • https://www.isc.org/software/bind/96-esv-r5-p1
  • https://www.isc.org/software/bind/94-esv-r5-p1

Gegenmaßnahmen

• Installation eines Patches, sobald dieser verfügbar ist

Vulnerability ID

• CVE-2011-4313

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/