2017-1131: ISC BIND: Zwei Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2017-06-30 12:45)

Neues Advisory

Version 2 (2017-07-03 18:01)

Für Fedora 26 steht ein Sicherheitsupdate für 'bind' auf Version 9.11.1-P2 im Status 'testing' bereit.

Version 3 (2017-07-05 14:24)

Red Hat hat für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Desktop, HPC Node, Server und Workstation sowie für Red Hat Enterprise Linux Server Telecom Update Support (TUS) 7.3 Backport-Sicherheitsupdates für 'bind' bereitgestellt, um diese Schwachstellen zu beheben.

Version 4 (2017-07-05 18:36)

Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen nun entsprechende Sicherheitsupdates für 'bind' zur Verfügung.

Version 5 (2017-07-06 15:03)

Für Oracle VM 3.3 und 3.4 (x86_64) stehen Sicherheitsupdates für 'bind' zur Verfügung.

Version 6 (2017-07-07 11:24)

Für openSUSE Leap 42.2 stehen Sicherheitsupdates für 'bind' zur Verfügung.

Version 7 (2017-07-10 12:25)

Debian stellt für die ehemals stabile Distribution Jessie und die stabile Distribution Stretch Backport-Sicherheitsupdates für 'bind9' bereit.

Version 8 (2017-07-24 11:31)

Für Fedora 24 stehen die Pakete 'dhcp-4.3.4-4.fc24' und 'bind99-9.9.10-2.P3.fc24' als Sicherheitsupdates im Status 'testing' bereit.

Version 9 (2017-08-10 11:29)

Für Oracle Linux 7 (x86_64) steht ein neues Update für 'bind' bereit, mit dem die beiden Schwachstellen adressiert werden.

Version 10 (2017-09-06 12:43)

IBM informiert darüber, dass AIX 6.1 und 7.1 von den Schwachstellen CVE-2017-3142 und CVE-2017-3143 in BIND betroffen sind und stellt Sicherheitsupdates (Fixes und Interim Fixes) sowie Hinweise zu deren Installation bereit.

Version 11 (2017-09-19 11:36)

Canonical informiert mittels der Ubuntu Security Notice USN-3346-2 darüber, dass das über die Meldung USN-3346-1 veröffentlichte Sicherheitsupdate über die Behebung der Schwachstelle CVE-2017-3142 eine Regression eingeführt hat. Durch die Regression ist die Möglichkeit AXFR (Asynchronous Full Transfer Zone) oder IXFR (Incremental Zone Transfer) zu empfangen, wenn TSIG (Transaction SIGnature) genutzt wird und nicht jede Nachricht signiert wird, eingeschränkt. Dieses Update USN-3346-2 korrigiert das problematische Verhalten und enthält außerdem den neuen Root Zone Key Signing Key (KSK).

Version 12 (2017-11-09 10:07)

Canonical stellt das Sicherheitsupdate für 'bind9', mit dem beide Schwachstellen behoben werden, jetzt auch für Ubuntu 12.04 LTS (ESM) zur Verfügung.

Betroffene Software

Server

Betroffene Plattformen

IBM
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Zwei Schwachstellen in ISC BIND ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen der TSIG-Authentifizierung, wodurch dieser Zoneninformationen ausspähen, Zonendaten manipulieren und unautorisierte Zonentransfers initiieren kann.

ISC veröffentlicht die Sicherheitshinweise ISC-BIND-AA-01503 (CVE-2017-3143) und ISC-BIND-AA-01504 (CVE-2017-3142) und stellt Sicherheitsupdates in Form der Versionen 9.9.10-P2, 9.10.5-P2 und 9.11.1-P2 sowie der BIND Supported Preview Edition 9.9.10-S3 und 9.10.5-S3 bereit.

Canonical stellt Backport-Sicherheitsupdates für die Distributionen Ubuntu 17.04, Ubuntu 16.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS bereit, um diese Schwachstellen zu beheben.
 
Für die SUSE Linux Enterprise Produkte Debuginfo 11 SP3 und 11 SP4, Software Development Kit 11 SP4 und 12 SP2, Desktop 12 SP2 sowie Server 11 SP3 LTSS, 11 SP4, 12 LTSS, 12 SP1 LTSS und 12 SP2, Server for Raspberry Pi 12 SP2, Server for SAP 12 und 12 SP1 sowie SUSE OpenStack Cloud 6 stehen ebenfalls Backport-Sicherheitsupdates zur Verfügung.

Schwachstellen:

CVE-2017-3142

Schwachstelle in BIND9 ermöglicht Umgehen von Sicherheitsvorkehrungen und Ausspähen von Informationen

CVE-2017-3143

Schwachstelle in BIND9 ermöglicht Umgehen von Sicherheitsvorkehrungen und Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.