CVE-2012-5688 [DE]: BIND 9 Server, die DNS64 benutzen, können durch eine spezifische Abfrage zum Absturz gebracht werden

AA-00833

Eine spezifische Abfrage kann einen BIND Nameserver, der DNS64 benutzt, zum Absturz mit einem "REQUIRE" Assertion Fehler bringen.

Dokument Version:          
2.0
Veröffentlicht: 
04 Dez 2012
Programm betroffen: 
BIND
Versionen betroffen: 
9.8.0->9.8.4, 9.9.0->9.9.2
Gefahrenpotential: 
Kritisch
Angriffsvektorklasse: 
Remote (Von entfernen Netzwerken)

Beschreibung:

BIND 9 Nameserver, die den DNS64 IPv6 Transition Mechanismus verwenden, sind anfällig auf einen Programmfehler, der es erlaubt den Server zum Absturz mit einer spezifischen Abfrage durch eine "REQUIRE" Assertion Fehler zu bringen. Der Fehler kann von einem entfernten Netzwerk ohne viel Aufwand ausgelöst werden, wodurch eine Denial-of-Service (DoS) Attacke gegen die anfälligen Server durchgeführt werden kann.

Bitte beachten Sie: Unterstützung von DNS64 wurde bei BIND 9 mit der Version 9.8.0 eingeführt. Deshalb können BIND 9 Versionen vor 9.8.0 nicht von diesem Fehler betroffen sein. Zusätzlich können Nameserver mit Version 9.8.0 und später nur betroffen sein, wenn DNS64 in der Konfiguration mit dem "dns64" Parameter eingeschaltet ist. Wenn Sie kein DNS64 benutzen, dann sind Sie nicht gefährdet.

Für aktuelle Informationen, welche Versionen aktiv supported werden, sehen sie auf http://www.isc.org/software/bind/versions nach. 

Auswirkung:

Jeder BIND 9 Nameserver der mit DNS64 konfiguriert ist, ist auf diesen Fehler anfällig und kann von jedem Rechner, von dem er Anfragen akzeptiert, zum Absturz gebracht werden.

CVSS Bewertung:  7.8

CVSS Formel:  (AV:N/AC:L/Au:N/C:N/I:N/A:C)

Für mehr Informationen über das Common Vulnerability Scoring System und um Ihre eigene spezifische Punktezahl zu ermitteln besuchen Sie bitte: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C)

Workaround:

Nur BIND 9 Server, die mit DNS64 konfiguriert sind, sind anfällig.  Für diese Server kann das Sperren von Anfragen von nicht vertrauenswürdigen Clients (eine empfohlene Praxis in jedem Fall) das Problem ein wenig mildern. Allerdings gibt es keinen Workaround der einen anfälligen Server komplett vor einem Angriff basierend auf diesem Fehler schützen kann. Wenn Sie DNS64 benutzen, dann sollten Sie entweder DNS64 abschalten oder auf eine korrigierte Version aktualisieren.

Exploit Status:

Keine bekannt.

Lösung:  Aktualisieren auf die korrigierte Version von BIND, die der aktuell eingesetzten Version am nächsten kommt. Diese können alle von http://www.isc.org/downloads/all runtergeladen werden.

  • BIND 9 version 9.8.4-P1
  • BIND 9 version 9.9.2-P1

Anerkennung:  ISC dankt BlueCat Networks für die Benachrichtigung diese Fehlers an uns.

Dokument Revision History:

1.0 - 27 November 2012 Phase One vorbenachrichtigung
1.1 - 03 Dezember 2012 Phase Two und Phase Three benachrichtigt
2.0 - 04 Dezember 2012 Phase Four (Öffentlichkeit) benachrichtigt

Verwandte Dokumente:

Beachten Sie unsere BIND Security Matrix für eine komplette Liste der Security Probleme und der beeinträchtigten Versionen.

Falls Sie an mehr Informationen über unser Forum oder an Produkt Support interessiert sind, dann gehen Sie bitte auf www.isc.org/software/guild oder www.isc.org/support.

Haben Sie noch weiter Fragen?  Fragen in Bezug zu diesem Advisory sollten an security-officer@isc.org gerichtet werden

ISC Security Vulnerability Veröffentlichkeits Regelung:  Details über unsere aktuelle Security Advisory Regelung und Praxis sind veröffentlicht auf: https://www.isc.org/security-vulnerability-disclosure-policy

Dieser Knowledge Base Artikel https://kb.isc.org/article/AA-00828 ist das komplette und offizielle Security Advisory Dokument.  Zusätzlich ist eine Kurzfassung auf unserer Webseite und unter dieser Addresse zu finden: https://www.isc.org/software/bind/advisories/cve-2012-5688

Rechtliche Hinweise:
Internet Systems Consortium (ISC) macht diese Mitteilung auf einer "AS IS"-Basis. Keine Garantie oder Gewährleistung jedweder Art wird in dieser Mitteilung zum Ausdruck gebracht und keiner sollte impliziert werden. ISC schließt ausdrückliche oder konkludente Zusicherungen oder Gewährleistungen im Hinblick auf die in dieser Publikation enthaltenen Informationen ab; dies gilt unter anderem für jegliche stillschweigende Gewährleistung der allgemeinen Tauglichkeit oder der Eignung zu einem bestimmten Zweck sowie jegliche Gewährleistung im Hinblick auf die Genauigkeit, Richtigkeit, Qualität, Vollständigkeit oder Aktualität dieser Informationen und sind in keinem Fall verantwortlich oder haftbar für die Verwendung oder den Gebrauch der in dieser Publikation enthaltenen Informationen durch Dritte im Rahmen deren Tätigkeit oder für etwaige in dieser Publikation enthaltene Fehler oder Auslassungen. ISC kann diese Bekanntmachung jederzeit ändern. Eine alleinstehende Kopie oder ein Umschreibung des Textes in diesem Dokument ist eine unkontrollierte Kopie. Unkontrollierten Kopien können wichtig Informationen fehlen, veraltet sein oder sachliche Fehler enthalten.