ISPAM

Ernstig lek in DNS-server BIND

Arnout Veenman | @veenman op 30 juli 2009 08:05
Tags: , , ,

ISCIn de meest gebruikte DNS-server BIND is een zeer ernstig lek aangetroffen. Door een specifieke dynamische update voor een zone te sturen crasht de BIND-server. Uit testen van ISC blijkt dat de aanval alleen werkt door een update te sturen voor een zone waar de BIND-server master van is, bij slave zones werkt het niet.

Alle BIND-servers die master zijn van een of meer zones zijn kwetsbaar door het lek. Ondanks dat het lek kan worden misbruikt door een dynamic update te sturen, zijn ook servers die geen dynamic updates accepteren kwetsbaar. Er zijn daarnaast ook geen oplossingen om een kwetsbare server op enige wijze te beschermen tegen aanvallen. Het lek is daarom alleen te dichten door kwetsbare BIND-servers zo snel mogelijk te patchen.

Updates voor Redhat/CentOS 5 zijn inmiddels beschikbaar. De update voor CentOS 4 wordt momenteel getest en spoedig door het core-team vrijgegeven. Ook voor Debian/Ubuntu zijn inmiddels patches beschikbaar.

Print This Post



Gerelateerde atikelen (automatisch geselecteerd)


Abonneer op de ISPam.nl RSS Feed

3 Reacties op “Ernstig lek in DNS-server BIND”

Marco D op 30 juli 2009 om 09:22

Ubuntu en Debian zijn ook gepatcht.

Hier een IPtables rule die als tijdelijke workaround zou kunnen dienen:

iptables -A INPUT -p udp –dport 53 -j DROP -m u32 –u32 ’33 >> 11 & 0x0F
= 5′

Heb ‘m echter niet getest! Het is een variant op de suggestie die hier gegeven wordt (en die niet juist zo zijn volgens sommigen):

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=538975 (in de comments)

Let wel, je houdt met deze rule alle updates tegen, dus ook de legitieme.

Pim op 31 juli 2009 om 12:13

Ik kan dit lek bevestigen. Wij hadden er ook last van helaas…alle nameservers vastgelopen :-(

Randy’s weblog » Happy System Administrator Appreciation Day op 31 juli 2009 om 17:24

[...] zowel Micrtosoft een kritische patch buiten de reguliere patchdag uitrolde (dank!) samen met een ernstig lek in BIND, de nameserversoftware die op vrjiwel iedere webserver gebruikt wordt om domeinnamen.nl te vertalen [...]



Iets te melden? Reageer!
Reacties zijn zeer welkom op ISPam.nl, wel hebben wij enkele huisregels:
  • Indien er volgens u een foutje in het artikel is geslopen (taalkundig of inhoudelijk) dan kunt u dat melden via redactie@ispam.nl en dus niet door onder het artikel te reageren.
  • Reageer enkel op de inhoud van het artikel en niet op de persoon van de auteur of offtopic.
  • Let op uw spelling, gebruik geen schuttingtaal en reageer zakelijk en professioneel.
  • Reacties die niet aan deze huisregels voldoen worden verwijderd.
Uw naam *
 E-mail adres *
 Uw website
 Uw reactie *

Foutje in het artikel geslopen? Stuur een e-mail naar redactie@ispam.nl
advertenties



Ontvang ISPam.nl per e-mail

Vul je e-mail adres in:


of abonneer op de ISPam.nl RSS Feed

Archieven
Rubrieken