Varování: zranitelnost DNS serveru BIND s aktivní DNSSEC validací
20. 02. 2015
Základní informace:
Pravděpodobně nejpoužívanější DNS server software BIND obsahuje v některých verzích chybu, kdy je možné v některých případech, když je nastaven pro validaci DNSSEC záznamů, způsobit jeho pád a tím nedostupnost služby DNS.
Klasifikace zranitelnosti (dle CVSS v2 Vector Definitions):
CVSS v2 Base Score: 5.4 (MEDIUM) (AV:N/AC:H/Au:N/C:N/I:N/A:C)
Impact Subscore: 6.9
Exploitability Subscore: 4.9
Popis zranitelnosti:
Nameserver, který je nastaven pro validaci DNSSEC záznamů, se ve specifických případech může ukončit s chybou v případě, když jsou splněny všechny z následujících podmínek:
K chybě může výjimečně dojít omylem během změn konfigurace a byl publikován i ukázkový útok, kdy byla chyba způsobena zvenčí. V tuto chvíli je však tento útok považován za velmi obtížně realizovatelný.
Software BIND je používán pro provoz DNS serveru na většině UNIXových operačních systémech včetně mnoha distribucí Linux.
Reference:
Zranitelné verze:
BIND 9.7.0 až BIND 9.10.1-P1
Opatření k zabránění zneužití zranitelnosti:
Změna konfigurace spočívající v dočasném (do aktualizace software) vypnutí ověřování DNSSEC záznamů.
Opatření k odstranění zranitelnosti:
Aktualizace software na verzi, která má tuto chybu odstraněnou (oficiální BIND verze
9.9.6-P2 a 9.10.1-P2, příp. opravené verze od výrobců zahrnujícím software, často v mírně starší a upravené verzi, ve svých distribucích operačních systémů)
U systémů ve správě Corpus Solutions provedeme v nejbližší době opatření pro eliminaci tohoto problému a zákazníky budeme průběžně informovat prostřednictvím standardních komunikačních mechanizmů.