Bezpečnost DNS ohrožena chybou v BIND 9 serveru

Podle americké organizace ISC (Internet Systems Consortium)je díky speciálně vytvořené DNS zprávě možné „shodit“ vybrané verze DNS serverů BIND 9.


Informovali o tom zástupci sdružení CZ.NIC. Popsaný charakter odpovídá typické kritické zranitelnosti. Nalezená chyba v postižených verzích BINDu 9 umožňuje útočníkovi vzdáleně ukončit proces named. Tato zranitelnost ovlivňuje rekurzivní i autoritativní servery.

Defekt se ve zdrojovém kódu nachází na takovém místě, které nedovoluje ochránit server BIND 9 pomocí seznamů přístupových práv (ACL), konfigurace v named.conf, ani vypnutím některých funkcí při kompilaci či spuštění procesu named.

Vzdálený útočník musí být schopen odeslat speciálně vytvořený paket přímo na DNS server se zranitelnou verzí serveru BIND 9. Existuje také možné zaútočit nepřímo a to pomocí malwaru nainstalovaného ve vnitřní síti organizace, který může napadnout i DNS servery, jenž nejsou běžně přístupné z veřejného internetu.

Popsaný problém se týká konkrétně těchto verzí BIND 9 serveru:
• 9.6.3, 9.6-ESV-R4, 9.6-ESV-R4-P1, 9.6-ESV-R4-P2, 9.6-ESV-R5b1
• 9.7.2, 9.7.2-P1, 9.7.2-P2, 9.7.2-P3, 9.7.3, 9.7.3-P1, 9.7.3-P2, 9.7.4b1
• 9.8.0, 9.8.0-P1, 9.8.0-P2, 9.8.0-P3, 9.8.1b1

Vedoucí výzkumného a vývojového centra Laboratoře CZ.NIC Ondřej Surý k tomu dodává: „Jelikož neexistuje jiný způsob ochrany, CZ.NIC důrazně doporučuje okamžitou aktualizaci všech veřejně přístupných autoritativních i rekurzivních DNS serverů.“











Komentáře