Article ID: 123953, created on Jan 26, 2015, last review on Jan 26, 2015

  • Applies to:
  • Operations Automation
  • Plesk
  • Virtuozzo
  • Virtual Automation
  • H-Sphere

Nicht gesetzte Grenzen für die Delegierungskette kann einem Angreifer ermöglichen, BIND abstürzen zu lassen oder eine Überlastung des Arbeitsspeichers zu verursachen.

Situation

Durch Nutzung einer manipulierten Zonenkonstruktion oder eines Rogue-Servers kann ein Angreifer ein Versäumnis in jenem Code ausnutzen, den BIND 9 verwendet, um den Delegierungen im Domainnamenservice zu folgen. Dadurch wird BIND dazu gebracht, unendlich viele Anfragen zu senden, um zu versuchen, der Delegierung zu folgen. Dies kann zur Ressourcenüberlastung und einem Denial of Service führen (bis hin zur Beendigung des named-Server-Prozesses).

Weitere Informationen: BIND: CVE-2014-8500: Eine Schwachstelle bei der Handhabung der Delegierung kann ausgenutzt werden, um BIND abstürzen zu lassen

Auswirkung der Sicherheitslücke

Alle rekursiven Resolver sind betroffen. Autoritative Server können betroffen sein, wenn ein Angreifer eine Delegierung kontrollieren kann, die vom autoritativen Server beim Bedienen der Zone durchlaufen wird.

Lösung

Zum Schließen dieser Sicherheitslücke ist ein BIND-Upgrade erforderlich.

Handlungsempfehlung

Upgraden Sie BIND auf die gepatchte Version, die Ihrer aktuellen Version am nächsten ist. Alle Betriebssystemhersteller haben die bind-Pakete bereits in ihren OS-Repositorys gepatcht:

Für CentOS/RedHat Systeme:

# yum update bind

Für Debian/Ubuntu Systeme:

# apt-get install bind9

Für ein Produkt, das in einer Parallels Servervirtualisierungsumgebung installiert ist:

Informationen dazu, wie Sie bind in allen Containern gleichzeitig aktualisieren, finden Sie im Artikel Nr. 123952

Parallels nimmt die Sicherheit seiner Kunden sehr ernst und rät dringend dazu, die empfohlenen Maßnahmen so schnell wie möglich vorzunehmen.

Wir empfehlen auch, sich wichtige produktbezogene Informationen von Parallels zukommen zu lassen:

f213b9fa8759d57bee5d547445806fe7 6311ae17c1ee52b36e68aaf4ad066387 e0aff7830fa22f92062ee4db78133079 caea8340e2d186a540518d08602aa065 319940068c5fa20655215d590b7be29b 2897d76d56d2010f4e3a28f864d69223 0dd5b9380c7d4884d77587f3eb0fa8ef 198398b282069eaf2d94a6af87dcb3ff 614fd0b754f34d5efe9627f2057b8642 400e18f6ede9f8be5575a475d2d6b0a6 5356b422f65bdad1c3e9edca5d74a1ae a914db3fdc7a53ddcfd1b2db8f5a1b9c 56797cefb1efc9130f7c48a7d1db0f0c

Email subscription for changes to this article
Save as PDF