Menü
Security

Kritischer Fehler in BIND-9-Versionen

vorlesen Drucken Kommentare lesen 51 Beiträge

Über einen böswilligen regulären Ausdruck können Angreifer eine Denial-of-Service-Attacke gegen einen BIND-Server starten. Zudem können Hacker auch andere Programme auf derselben physischen Maschine durch den besagten Fehler kompromittieren. Der kritische Programmfehler betrifft BIND-9-Versionen unter UNIX-Systemen und erlaubt Angreifern eine massive Speicherauslastung des named-Dienstes oder von Programmen mit Verknüpfung zur libdns-Bibliothek.

Windows-Versionen sind davon nicht betroffen, ebenso Versionen von BIND 10. Fehlerbereinigte Versionen sollten möglichst schnell eingespielt werden, weitere Details sind als CVE-2013-2266-Meldung einsehbar. Die Sicherheits-Updates sind unter BIND 9.9.2-P2 und 9.8.4-P2 zu finden. Der Versionszweig 9.7 wird nicht länger gewartet und hat den Status "End of Life" (EOL).

Anwendungen welche die libdns-Bibliothek einer betroffenen BIND-Version nutzen, sind ebenfalls potenziell Verwundbar, sofern eine Eingabe den Fehler auslösen kann. Solche Programme sollten ebenfalls aktualisiert werden. Ein möglicher Workaround ist das erneute Compilieren der betreffenden Versionen mit ausgeschalteter RegEx-Unterstützung. Betroffen sind die Versionen: BIND 9.7.x, BIND 9.8 (9.8.0 bis 9.8.5b1) und BIND 9.9 (9.9.0 bis 9.9.3b1). (ogo)