Eine Schwachstelle in der Verarbeitung von DNS records kann dazu führen, dass als rekursive DNS caches arbeitende BIND-Installationen abstürzen und/oder dem anfragenden System Teile des Hauptspeicherinhaltes des beherbergenden Systems offenbaren. Seconday Servers können nach Transfer einer korrupten Zonendatei in einen unbenutzbaren Zustand geraten. Unter besonderer Konfiguration können autoritative Nameserver als Verteiler korrupter Zonendateien fungieren. Neue Versionen von BIND 9 beheben das Problem.

Inhalt

• Zusammenfassung
• Betroffene Systeme
• Plattform
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Beschreibung
• Workaround
• Gegenmaßnahmen
• Vulnerability ID
• Exploit Status

Zusammenfassung

• CVE-2012-1667:
  

  Betroffen:	BIND 9.0.x bis 9.6.x, 9.4-ESV bis 9.4-ESV-R5-P1, 9.6-ESV bis 9.6-ESV-R7, 9.7.0 bis 9.7.6, 9.8.0 bis 9.8.3, 9.9.0 bis 9.9.1
  Plattform:	Unixoide Systeme
  Einfallstor:	DNS-Record
  Angriffsvoraussetzung:	Netzwerk
  Angriffsvektorklasse:	remote
  Auswirkung:	denial of service, information leak
  Typ:	Speicherverletzung
  Gefahrenpotential:	mittel bis hoch
  CVSS Score:	8.5
  Workaround:	bislang nicht verfügbar
  Gegenmaßnahmen:	neue Version: BIND 9.6-ESV-R7-P1, 9.7.6-P1, 9.8.3-P1, 9.9.1-P1
  Vulnerability ID:	CVE-2012-1667

Betroffene Systeme

• BIND 9.0.x bis 9.6.x
• BIND 9.4-ESV bis 9.4-ESV-R5-P1
• BIND 9.6-ESV bis 9.6-ESV-R7
• BIND 9.7.0 bis 9.7.6
• BIND 9.8.0 bis 9.8.3
• BIND 9.9.0 bis 9.9.1

Plattform

• Unixoide Systeme

Einfallstor

• DNS-Record mit RDATA-Feldern der Länge Null

Angriffsvoraussetzung

• Zugriff auf ein Netzwerk, über das entsprechende Anfragen an betroffene Systeme gesendet werden können.
  (network)

Angriffsvektorklasse

• über eine Netzwerkverbindung
  (remote)

Auswirkung

Folgende Auswirkungen konnten bislang ermittelt werden:
• Absturz oder Versetzen der Nameserver-Installation in einen unbenutzbaren Zustand
  (denial of service)
• Auslesen von Teilen des Speichers des beherbergenden Systems durch das anfragende System
  (information leak)

Typ der Verwundbarkeit

• Speicherverletzung
  (memory corruption)

Gefahrenpotential

• mittel bis hoch
• CVSS Score: 8.5 (Formel: AV:N/AC:L/Au:N/C:P/I:N/A:C)

Beschreibung

Eine Schwachstelle in der DNS-Software BIND 9 kann von einem Angreifer dazu ausgenutzt werden, die Installation in einen unbenutzbaren Zustand zu versetzen, zum Absturz zu bringen oder Teile des Hauptspeichers des beherbergenden Systems auszulesen. Der verursachende Fehler tritt bei der Verarbeitung von DNS-Records auf, die RDATA-Felder der Länge Null besitzen.

Je nach Konfiguration und Art des Servers hat das Senden an und die Verarbeitung entsprechender Records durch eine betroffene Installation unterschiedliche Auswirkungen:

• Ein rekursiver Server kann zum Absturz gebracht werden und der Angreifer kann Teile des Speichers auslesen.
• Secondary Servers können nach dem Transfer einer Zone, die entsprechende Records enthält, in einen unbenutzbaren Zustand geraten, sobald sie neu gestartet werden. Eine mit einer solchen Zone versehene Installation stürzt direkt bei einem Neustart ab.
• Autoritative Server sind nicht direkt betroffen sondern fungieren nur als Verteiler gefährdender Zonendateien an Secondary Servers (s. vorheriger Spiegelstrich). Zonen können entsprechende Effekte hervorrufen, wenn ein Administrator auf einem Master die Option auto-dnssec auf maintain setzt.
• Weitere, bislang unbekannte Effekte sind möglich.

Der Hersteller der betroffenen Software (ISC) stellt neue Versionen bereit, die dieses Problem beheben.

Workaround

• Derzeit ist kein Workaround verfügbar.

Gegenmaßnahmen

Installation einer Softwareversion, in der dieses Problem behoben ist:
• BIND 9.6-ESV-R7-P1
• BIND 9.7.6-P1
• BIND 9.8.3-P1
• BIND 9.9.1-P1

Vulnerability ID

• CVE-2012-1667

Exploit Status

• Die Schwachstelle wurde bereits in Foren diskutiert, jedoch wurden noch keine Angriffe beobachtet, die die Schwachstelle ausnutzen.
  (advertised)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/