Corpus Solutions

20. 02. 2015

Základní informace:

Pravděpodobně nejpoužívanější DNS server software BIND obsahuje v některých verzích chybu, kdy je možné v některých případech, když je nastaven pro validaci DNSSEC záznamů, způsobit jeho pád a tím nedostupnost služby DNS.

Klasifikace zranitelnosti (dle CVSS v2 Vector Definitions):

CVSS v2 Base Score: 5.4 (MEDIUM) (AV:N/AC:H/Au:N/C:N/I:N/A:C)

Impact Subscore: 6.9

Exploitability Subscore: 4.9

Popis zranitelnosti:

Nameserver, který je nastaven pro validaci DNSSEC záznamů, se ve specifických případech může ukončit s chybou v případě, když jsou splněny všechny z následujících podmínek:

K chybě může výjimečně dojít omylem během změn konfigurace a byl publikován i ukázkový útok, kdy byla chyba způsobena zvenčí. V tuto chvíli je však tento útok považován za velmi obtížně realizovatelný.

Software BIND je používán pro provoz DNS serveru na většině UNIXových operačních systémech včetně mnoha distribucí Linux.

Reference:

Zranitelné verze:

BIND 9.7.0 až BIND 9.10.1-P1

Opatření k zabránění zneužití zranitelnosti:

Změna konfigurace spočívající v dočasném (do aktualizace software) vypnutí ověřování DNSSEC záznamů.

Opatření k odstranění zranitelnosti:

Aktualizace software na verzi, která má tuto chybu odstraněnou (oficiální BIND verze
9.9.6-P2 a 9.10.1-P2, příp. opravené verze od výrobců zahrnujícím software, často v mírně starší a upravené verzi, ve svých distribucích operačních systémů)

U systémů ve správě Corpus Solutions provedeme v nejbližší době opatření pro eliminaci tohoto problému a zákazníky budeme průběžně informovat  prostřednictvím standardních komunikačních mechanizmů.