W popularnym serwerze nazw domenowych BIND9 znaleziono lukę, która pozwala potencjalnemu napastnikowi zdalnie przerwać pracę usługi.

Problem

Zgodnie z przygotowanym raportem o błędach przyczyna problemu leży w mechanizmie dynamicznej aktualizacji stref (Dynamic Updates). Odpowiednio spreparowany pakiet transportujący informacje o aktualizacji może doprowadzić do tego, że usługa nie będzie w stanie prawidłowo odpowiadać na zapytania.

W oryginalnym raporcie o błędach znajduje się przykładowy exploit.

Zagrożenie

Z usterką tą wiąże się zagrożenie atakami typu Denial of Service (DoS), ponieważ intruz może wykorzystać lukę bez wcześniejszej autentykacji wobec serwera. Warunkiem koniecznym do przeprowadzenie ataku jest jednak – według producenta, firmy Internet Systems Consortium (ISC) – taka konfiguracja, w której atakowana usługa BIND działa jako główny serwer danej strefy (master). W przypadku podległych (slave) serwerów stref zagrożenie nie występuje.

Rozwiązanie

ISC zaleca aktualizację oprogramowania BIND do wersji 9.4.3-P3, 9.5.1-P3 lub BIND 9.6.1-P1. Instalacja uaktualnień eliminuje opisywany problem. Dystrybutorzy GNU/Linuksa przygotowali już zaktualizowane pakiety oprogramowania. Użytkownicy powinni jak najszybciej je zainstalować.

Obejście

W komentarzach do raportu o błędach przygotowanego przez Debiana można znaleźć propozycję obejścia problemu dla systemów opartych na kernelu Linux i wyposażonych w podsystem filtrowania pakietów Netfilter:

  iptables -A INPUT -p udp --dport 53 -j DROP -m u32 --u32 '30>>27&0xF=5'

Zobacz także

• BIND DoS Dynamic Update, raport ISC
• ISC BIND 9 vulnerable to denial of service via dynamic update request, raport US-CERT-u

(pwi)