ISC opdaterer kritisk DoS fejl i BIND DNS software

Internet Systems Consortium (ISC) patched to sårbarheder i domænenavn system software BIND, hvoraf den ene blev omtalt som en "kritisk fejl betingelse" i softwaren.

BIND er den mest udbredte DNS-server på internettet, der oversætter domænenavne til IP-adresser, så brugerne kan få adgang til applikationer og eksterne servere uden at skulle spore IP-adresser. BIND er de facto-standarden på Linux og andre Unix-baserede maskiner; en sårbarhed i softwaren påvirker et stort antal servere og applikationer.

Den seneste BIND-opdatering, versioner 9.9.9-P3, 9.10.4-P3 og 9.11.0rc3, patchede en fejlfeil (CVE-2016-2776), der kunne udnyttes ved hjælp af specielt udformede DNS-anmodningspakker. Problemet blev afdækket internt af ISC og påvirker alle servere, der kan modtage anmodningspakker fra enhver kilde, ISC sagde i sin rådgivende. Berørte versioner omfatter 9.0.x til 9.8.x, 9.9.0 til 9.9.9-P2, 9.9.3-S1 til 9.9.9-S3, 9.10.0 til 9.10.4-P2 og 9.11.0a1 til 9.11.0rc1.

Brugere rådes til at opdatere deres BIND-installationer til den "patched release, der er nærmest relateret til din nuværende version af BIND" eller versioner 9.9.9-P3, 9.10.4-P3 og 9.11.0rc3. Opløsningen findes også i BIND 9 Understøttet Preview-udgave som version 9.9.9-S5.

"Test ved ISC har afdækket en kritisk fejltilstand, der kan opstå, når en navneserver konstruerer et svar," sagde ISC, som har opretholdt BIND siden 2000.

Problemet er bundet til en defekt i rendering af beskeder i pakker, når navneserveren konstruerer et svar. Hvis sårbarheden udnyttes via specielt udformede forespørgsler, kan det udløse et påstandefejl i buffer.c, mens der opbygges et svar på en bestemt type af en forespørgsel. Udnyttelsen ville lykkes ", selvom den tilsyneladende kildeadresse ikke er tilladt at foretage forespørgsler (dvs. svarer ikke til" tilladelse "."

Problemet blev markeret høj grad med en 7.8 score på Common Vulnerability Scoring System, fordi det kan udnyttes eksternt. Red Hat er rådgivende siger, at angrebet ikke kræver nogen godkendelse, yderligere privilegier eller brugerinteraktion for at udnytte fejlen korrekt, så problemet er særlig farligt.

Det er let at nedbryde sværhedsgraden af ​​fejl i benægtelse i en sikkerhedsrådgivning, især når sammenlignet med privilegium eskalering eller fjern kodeudførelse. Men fordi BIND er central til implementering af DNS-protokollen på internettet, kan en sårbarhed, der kunne udnyttes til at slå systemer offline, have en vidtrækkende indflydelse. En specielt udformet forespørgsel, der kan kollidere navnet server daemon er ikke blot en ulempe eller et mindre tilbageslag. Det kunne bringe dele af internettet til knæene.

ISC har ikke set noget bevis, der angiver, at angribere var opmærksomme på eller allerede udnyttet sårbarheden, men varslede, at alle servere, der kan modtage anmodningspakker fra enhver kilde, skal opdateres. ISC har patchet fejlene i distributionen, og forskellige Linux-distributioner, som f.eks. Red Hat, er allerede forsendelsesrettelser til deres egne BIND-implementeringer.

Denne BIND-opdatering har også rettet a tidligere offentliggjort medium-severity DoS tilstand (CVE-2016-2775) i BINDs implementering af lwresd-protokollen (lightweight resolver). Fejlen stammer fra det faktum, at en server kan opsige, hvis resolveren forsøger at løse et forespørgselsnavn, som i kombination med en søgeliste overstiger den maksimalt tilladte længde.

"En server, der er berørt af denne fejl, vil opsige med en segmenteringsfejlfejl, hvilket resulterer i en benægtelse af service til klientprogrammer, der forsøger at løse navne," sagde ISC i rådgivningen.

Sårbarheden er også "generende" for indlejrede enheder, der kører BIND, da afhjælpning indebærer fastsættelse af BIND og opdatering af alle enheder med den indlejrede software. "Vi vil igen se organisationer scrambling for at afgøre, om de bruger komponenten, og hvor," sagde Mike Pittenger, VP for Security Strategy på Black Duck Software.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.