[English]Eine Sicherheitslücke in BIND kann dazu führen, dass der betreffende Daemon abstützt und keine DNS-Auflösungen mehr durchführt. Hier ein paar Informationen zur Lücke, die seit 2000 besteht.
Anzeige
Ich weiß nicht, ob jemand meiner Blog-Leser/-innen einen eigenen BIND-Server (vom Open Source-Projekt BIND) betreibt, packe das Thema aber mal in einen kurzen Beitrag. Das Thema tangiert möglicherweise Admins in Firmenumgebungen, wobei Microsoft für Windows m.W. eine eigene BIND-Implementierung für DNS-Server nutzt.
Laut Wikipedia ist BIND ein Open-Source-Programmpaket, welches für die Namensauflösung im Domain Name System (DNS) genutzt wird. Der Name steht für Berkeley Internet Name Domain Server (BIND).
Am 16. Januar 2018 wurde CVE-2017-3145: Improper fetch cleanup sequencing in the resolver can cause named to crash veröffentlicht. Demnach sequenzierte BIND die Clean-Operationen in Upstream-Rekursionsfetch-Kontexten nicht korrekt. Dies führt wohl in einigen Fällen zu einem"use-after-free"-Fehler. Dieser löst dann einen Assertion-Folgefehler aus, der einen Absturz in named auslösen kann. Der Bug scheint wohl bereits 2000 bei der Konzeption von BIND Einzug gehalten zu haben, und blieb bis jetzt unentdeckt, wie The Register hier schreibt.
Im CVE schreibt man: Obwohl dieser Fehler in BIND seit 9.0.0.0 existiert, gibt es in ISC-Releases keine bekannten Codepfade, die (auf ungepatchten Systemen) zu diesem Fehler führen.
Allerdings sollten alle Instanzen von BIND gepatcht werden, aber nur die ISC-Versionen [9.9.9.9-P8 bis 9.9.11.11, 9.10.4-P8 bis 9.10.6, 9.11.0-P5 bis 9.11.2, 9.9.9-S10 bis 9.9.11-S1, 9.10.5-S1 bis 9.10.6-S1 und 9.12.0a1 bis 9.12.0rc1], falls diese als DNSSEC-Validierungsresolver fungieren. Dieses Szenario ist derzeit bekannt dafür, dass die BIND-ISC-Version aufgrund dieses Fehlers (mit einem Zuweisungsfehler in netaddr.c) abstürzen. Ein paar Informationen finden sich zudem in diesem Artikel und hier.
2015
Ich benutze Linux Mint 18.3 Cinnamon – wurde im privaten Bereich bei mir vor ca. 1 Jahr der Windows-Ersatz (beruflich bin ich Windows-Admin).
Linux Mint ist hier eine Desktop-Installation (Notebook), kein Server. Deswegen wundert es mich ein bisschen, dass bei mir heute dieses Paket gepatcht wurde: libbind9-140, neue Version ist die 1:9.10.3.dfsg.P4-8ubuntu.10.
Kann es damit zusammenhängen, dass ich VirtualBox installiert habe? Da würde ein Nameserver womöglich Sinn ergeben, falls man irgendwelche komplexeren Umgebungen bauen wollte. Irgendeine Paketabhängigkeit muss es gegeben haben … Bin nicht der Linuxer vor dem Herrn.
Jetzt wird es OT:
Was mir aber zu denken gibt: eine ca. 17 Jahre alte Lücke in einer zentralen Netzwerkkomponente – meine Herrn! Wenn man das aufmerksam verfolgt, ist es ja nicht das erste mal in jüngster Zeit, dass eine +10 Jahre alte Lücke entdeckt wird. Was man allerdings zugute halten muss: es wird nach der Entdeckung immer umgehend gepatcht.
Bei Microsoft hätte man wegen des Alters der Lücke wahrscheinlich draufgeschlagen, bei Linux feiert sich die Entwicklergemeinde womöglich für den OpenSource-Gedanken. Von wegen, "dass man ja wegen der offenen Quelltexte weiß, was drin steckt und dass man deswegen auch die Lücken einfach finden kann". Allein was nutzt es, wenn scheinbar keiner danach schaut.
Bitte nicht falsch verstehen, aber es ist ein bisschen Genugtuung bei mir dabei – gerade eingefleischte Linux-Verfechter kommen uns Windows-Admins öfters mal sehr arrogant rüber (v.a. vom "Linux" Thorvalds hat man ja schon den einen oder anderen verbalen Ausfall gehört / gelesen … aber den betrifft das hier ja nicht, denn er macht ja DAS Linux, sprich nur den Kernel. Alles andere sind ja nur Anwendungen oder Hardware). In deren Selbstverständnis gibt es dann Fehler immer nur bei den anderen. Kostproben gibt da der eine oder andere Forenbeitrag bei Heise, wenn es zum Disput der beiden Lager kommt: Linux-Jünger vs. Windows-Fanboys.