CVE-2012-3817 [DE]: Hohe Last in der DNSSEC Verifizierung kann einen "Bad Cache" Assertion Fehler in BIND9 verursachen

AA-00743

Titel: Hohe Last in der DNSSEC Verifizierung kann einen "Bad Cache" Assertion Fehler in BIND9 verursachen

Zusammenfassung: 

Eine hohe Anzahl von Abfragen mit DNSSEC Validierung kann einen Assertion Fehler in „named“ verursachen durch das Benutzen einer „bad cache“ Datenstruktur bevor sie initialisiert wurde.

CVE: CVE-2012-3817

Dokument Version: 2.0

Veröffentlicht: 24 Juli, 2012

Programm betroffen: BIND 9

Versionen betroffen:

9.6-ESV-R1 bis (inkl) 9.6-ESV-R7-P1; 9.7.1 bis (inkl) 9.7.6-P1; 9.8.0 bis (inkl) 9.8.3-P1; 9.9.0 bis (inkl) 9.9.1-P1.

Gefahrenpotential: Kritisch

Angriffsvektorklasse: Remote (Von entfernten Netzwerken)

Beschreibung:

BIND 9 speichert einen Cache von Abfrage-Namen, die dafür bekannt sind zu versagen wegen falsch konfigurierten Nameserver oder einer gebrochenen Vertrauenskette. Unter hoher Abfragelast, wenn die DNSSEC Validierung aktiviert ist, ist es möglich zu einem Zustand zu kommen, in dem Daten von diesem Cache benutzt werden bevor sie initialisiert wurden und dadurch einen Assertionsfehler auszulösen.

Dieser Fehler kann nur auftreten wenn der Server DNSSEC validiert.

Bitte beachten: Versionen von BIND 9.4 und 9.5 sind ebenfalls beeinträchtigt, sind aber EOL (Ende des Supports) und werden nicht mehr getestet oder korrigiert von ISC. Information über welche Versionen aktuell unterstützt werden, finden Sie auf http://www.isc.org/software/bind/versions

CVSS Bewertung: 7.8

CVSS Formel: (AV:N/AC:L/Au:N/C:N/I:N/A:C)

Für mehr Informationen über das Common Vulnerability Scoring System und um Ihre eigene spezifische Punktezahl zu ermitteln besuchen Sie bitte: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C)

Workaround: Keinen

Lösung: 

Aktualisieren auf die korrigierte Version von BIND, die der aktuell eingesetzten Version am nächsten kommt. 
Die neuen Versionen sind:

  • BIND 9.6-ESV-R7-P2
  • BIND 9.7.6-P2
  • BIND 9.8.3-P2
  • BIND 9.9.1-P2

Aktuelle Versionen können runtergeladen werden von: http://www.isc.org/downloads/all

Exploit Status: Keine bekannt zu dieser Zeit.

Anerkennung: ISC dankt Einar Lonn von IIS.se

Dokument Revision History:

1.0 - 11 Juli, 2012 Phase 1 Benachrichtigung gesendet
1.1 - 17 Juli, 2012 Phase 1 neu ausgegeben wegen einer Aenderung im Fix fuer CVE-2012-3868 der nur 9.9.x beeinträchtigt
1.2 - 23 Juli, 2012 Phase 2 & 3 gesendet
2.0 - 24 Juli, 2012 Veröffentlicht

Referenzen:

- Haben Sie Fragen? Fragen in Bezug zu diesem Advisory sollten an security-officer@isc.org gerichtet werden

- ISC Security Vulnerability Advisory Regelung: Details über unserer aktuelle Security Advisory Regelung und Praxis sind veröffentlicht auf https://www.isc.org/security-vulnerability-disclosure-policy

Dieses Security Advisory ist auch in unserer KnowledgeBase enthalten: https://kb.isc.org/article/AA-00743 

Beachten Sie unsere BIND Security Matrix für eine komplette Liste der Security Probleme und der beeinträchtigten Versionen.

Hinweis: ISC korrigiert nur aktuell unterstützte Versionen. Wo möglich vermerken wir beeinträchtigte EOL Versionen.

Falls Sie an mehr Informationen über unser Forum oder BIND/DHCP Support interessiert sind, dann gehen Sie bitte auf www.isc.org/software/guild oder www.isc.org/support

Rechtliche Hinweise:

Internet Systems Consortium (ISC) macht diese Mitteilung auf einer "AS IS"-Basis. Keine Garantie oder Gewährleistung jedweder Art wird in dieser Mitteilung zum Ausdruck gebracht und keiner sollte impliziert werden. ISC schließt ausdrückliche oder konkludente Zusicherungen oder Gewährleistungen im Hinblick auf die in dieser Publikation enthaltenen Informationen ab; dies gilt unter anderem für jegliche stillschweigende Gewährleistung der allgemeinen Tauglichkeit oder der Eignung zu einem bestimmten Zweck sowie jegliche Gewährleistung im Hinblick auf die Genauigkeit, Richtigkeit, Qualität, Vollständigkeit oder Aktualität dieser Informationen und sind in keinem Fall verantwortlich oder haftbar für die Verwendung oder den Gebrauch der in dieser Publikation enthaltenen Informationen durch Dritte im Rahmen deren Tätigkeit oder für etwaige in dieser Publikation enthaltene Fehler oder Auslassungen. ISC kann diese Bekanntmachung jederzeit ändern.

Eine alleinstehende Kopie oder ein Umschreibung des Textes in diesem Dokument, das den hier folgenden Verteiler URL auslässt ist eine unkontrollierte Kopie. Unkontrollierten Kopien können wichtig Informationen fehlen, veraltet sein oder sachliche Fehler enthalten.