Ernstig lek in DNS-server BIND
In de meest gebruikte DNS-server BIND is een zeer ernstig lek aangetroffen. Door een specifieke dynamische update voor een zone te sturen crasht de BIND-server. Uit testen van ISC blijkt dat de aanval alleen werkt door een update te sturen voor een zone waar de BIND-server master van is, bij slave zones werkt het niet.
Alle BIND-servers die master zijn van een of meer zones zijn kwetsbaar door het lek. Ondanks dat het lek kan worden misbruikt door een dynamic update te sturen, zijn ook servers die geen dynamic updates accepteren kwetsbaar. Er zijn daarnaast ook geen oplossingen om een kwetsbare server op enige wijze te beschermen tegen aanvallen. Het lek is daarom alleen te dichten door kwetsbare BIND-servers zo snel mogelijk te patchen.
Updates voor Redhat/CentOS 5 zijn inmiddels beschikbaar. De update voor CentOS 4 wordt momenteel getest en spoedig door het core-team vrijgegeven. Ook voor Debian/Ubuntu zijn inmiddels patches beschikbaar.
Gerelateerde atikelen (automatisch geselecteerd)
3 Reacties op “Ernstig lek in DNS-server BIND”
Marco D op 30 juli 2009 om 09:22
Ubuntu en Debian zijn ook gepatcht.
Hier een IPtables rule die als tijdelijke workaround zou kunnen dienen:
iptables -A INPUT -p udp –dport 53 -j DROP -m u32 –u32 ’33 >> 11 & 0x0F
= 5′
Heb ‘m echter niet getest! Het is een variant op de suggestie die hier gegeven wordt (en die niet juist zo zijn volgens sommigen):
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=538975 (in de comments)
Let wel, je houdt met deze rule alle updates tegen, dus ook de legitieme.
Pim op 31 juli 2009 om 12:13
Ik kan dit lek bevestigen. Wij hadden er ook last van helaas…alle nameservers vastgelopen 
Randy’s weblog » Happy System Administrator Appreciation Day op 31 juli 2009 om 17:24
[...] zowel Micrtosoft een kritische patch buiten de reguliere patchdag uitrolde (dank!) samen met een ernstig lek in BIND, de nameserversoftware die op vrjiwel iedere webserver gebruikt wordt om domeinnamen.nl te vertalen [...]
Iets te melden? Reageer!
Archieven
- september 2010 (4)
- augustus 2010 (46)
- juli 2010 (44)
- juni 2010 (39)
- mei 2010 (47)
- april 2010 (45)
- maart 2010 (48)
- februari 2010 (45)
- januari 2010 (49)
- december 2009 (54)
- november 2009 (46)
- oktober 2009 (48)
- september 2009 (53)
- augustus 2009 (45)
- juli 2009 (50)
- juni 2009 (58)
- mei 2009 (54)
- april 2009 (59)
- maart 2009 (55)
- februari 2009 (43)
- januari 2009 (41)
- december 2008 (49)
- november 2008 (39)
- oktober 2008 (49)
- september 2008 (43)
- augustus 2008 (42)
- juli 2008 (46)
- juni 2008 (41)
- mei 2008 (42)
- april 2008 (45)
- maart 2008 (42)
- februari 2008 (45)
- januari 2008 (37)
- december 2007 (39)
- november 2007 (44)
- oktober 2007 (59)
- september 2007 (49)
- augustus 2007 (50)
- juli 2007 (55)
- juni 2007 (58)
- mei 2007 (60)
- april 2007 (36)
- maart 2007 (50)
- februari 2007 (38)
- januari 2007 (44)
- december 2006 (35)
- november 2006 (54)
- oktober 2006 (32)
- september 2006 (39)
- augustus 2006 (45)
- juli 2006 (46)
- juni 2006 (41)
- mei 2006 (54)
Rubrieken
- Advertorial
- Bijeenkomsten
- Breedband
- Censuur
- Column
- Datacentrum
- Domeinnamen
- Downtime
- economie
- Governance
- Hardware
- Hosting
- Illegaal
- IPv6
- ISP
- ISPam.nl
- ISPviews
- Jaaroverzicht
- Juridisch
- Koffie
- Maatschappij
- MVO
- Netwerken
- Nieuws uit de branche
- Onderzoek
- Persberichten
- Podcast
- Politiek
- Problemen
- Producten
- Productreviews
- Software
- SPAM
- Thijs Hostwise
- Veiligheid
- Vraag het Mr. Ras
- xCAT.nl Publishing