Chyba v BIND9 umožní shodit DNS server

31. 7. 2009

Sdílet

bitcoin_skoleni

V systému na sledování chyb, který provozuje Debian, byla nahlášena nová bezpečnostní chyba, která umožní útočníkovi pomocí speciálně vytvořené DNS zprávy (a kód na vytvoření takové zprávy byl rovnou přiložen v hlášení chyby) ukončit chod DNS serveru. Útok funguje za předpokladu, že cílový DNS server obsahuje alespoň jednu autoritativní doménu, která je útočníkovi známa, a server je pro takovou doménu master. Do zranitelných serverů spadají i rekurzivní servery, které se řídí RFC1912 sekcí 4.1, a obsluhují zóny localhost, 0.0.127.in-addr.arpa, 255.in-addr.arpa a 0.in-addr.arpa.

Obrany jsou dvě, z toho jedna preventivní. První obranou je použít aktualizovanou verzi Bind9 (9.4.3-P3, 9.5.1-P3 nebo 9.6.1-P1). Druhou obranou, která je i prevencí, je neprovozovat DNS monokulturu. DNS je vcelku odolný protokol a tak mu většinou stačí, když běží alespoň jeden DNS server. Proto je obranou provozovat serverů více a používat různý DNS software. Pro autoritativní server je to například NSD. Tím zvýšíte pravděpodobnost, že podobný útok nepostihne všechny (což jsou u normálních doménových jmen většinou dva) autoritativní DNS servery, ale pouze jeden.

Podobná nebo jiná chyba se stejným způsobem může objevit i u dalších implementací DNS serverů, Bind9 může být pro změnu v pořádku. Důležité je nemít zranitelné všechny (oba) servery stejnou bezpečnostní chybou.