News-Meldung vom 28.08.2007 19:29

Schwerwiegende Lücke besiegelt Ende des DNS-Servers BIND 8

Nach der Aufdeckung einer erheblichen Schwachstelle im Zufallszahlengenerator des DNS-Servers BIND 8 hat der Hersteller ISC den Support für Version 8 des weit verbreiteten Nameservers endgültig eingestellt. Wie der Sicherheitsspezialist Amit Klein in einem Paper beschreibt, lassen sich die sogenannten Transaction-IDs von BIND 8 derart genau vorhersagen, dass Angreifer den Cache eines vewundbaren DNS-Servers mit bis zu hundertprozentiger Erfolgswahrscheinlichkeit mit gefälschten IP-Adressen "vergiften" können. Ein solches "Cache Poisioning" spielt in erster Linie Phishern und Pharmern in die Hände, die Internetnutzer damit in Scharen auf gefälschte Webseiten umlenken könnten.

Das ISC stellt zwar einen Patch auf Version 8.4.7-P1 bereit, der die unmittelbaren Probleme mit dem Zufallszahlengenerator beheben soll. Im gleichen Atemzug räumen die Entwickler jedoch ein, dass BIND 8 mit grundlegenden "architekturellen Problemen" zu kämpfen habe. Die Upgrade-Empfehlung an alle Serverbetreiber fällt deutlich aus: "Die möglichen Workarounds sind, den DNS-Dienst abzuschalten oder auf BIND 9 zu aktualisieren."

Inzwischen warnt auch das US-CERT mit einem Advisory vor der Lücke. Da der überwiegende Teil der Betreiber von Nameservern inzwischen auf BIND 9 setzt, dürfte die Auswirkung der Schwachstellen auf das DNS-System und damit auf die Internetnutzer allerdings nur gering sein.

Klein sorgte bereits vor gut einem Monat für einigen Wirbel, als er ein Paper über eine vergleichbare Schwachstelle im Zufallszahlengenerator von BIND 9 veröffentlichte. Dieser funktioniert jedoch grundlegend anders, was dazu führte, dass sich der Fehler in Version 9 lediglich mit zehnprozentiger Wahrscheinlichkeit und unter höherem technischem Aufwand ausnutzen ließ.

Siehe dazu auch: