DFN-CERT

Advisory-Archiv

2018-0105: ISC BIND: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2018-01-17 17:52)
Neues Advisory
Version 2 (2018-01-22 10:59)
Für Fedora 26 und 27 stehen die Pakete 'bind-9.11.2-1.P1.fc26', 'bind-dyndb-ldap-11.1-6.fc26', 'dnsperf-2.1.0.0-8.fc26' sowie 'bind-9.11.2-1.P1.fc27', 'bind-dyndb-ldap-11.1-8.fc27' und 'dnsperf-2.1.0.0-11.fc27' als Sicherheitsupdates im Status 'testing' bereit.
Version 3 (2018-01-22 15:31)
Red Hat stellt für die Produktvarianten Red Hat Enterprise Linux Server, Workstation und Desktop 6 (32- und 64-Bit) sowie Scientific Computing 6 und für Red Hat Enterprise Linux Server 7, EUS 7.4, EUS Compute Node 7.4, 4 Year EUS 7.4, AUS 7.4, TUS 7.4, Desktop 7, Workstation 7, Scientific Computing 7 sowie Enterprise Linux for ARM 64 Version 7 Sicherheitsupdates zur Behebung der Schwachstellen bereit.
Version 4 (2018-01-22 18:50)
Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen jetzt ebenfalls Sicherheitsupdates für 'bind' zur Behebung der Schwachstelle bereit.
Version 5 (2018-01-24 13:15)
Für Oracle VM 3.4 und 3.3 stehen nun ebenfalls Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 6 (2018-01-31 11:42)
Für SUSE OpenStack Cloud 6 sowie die SUSE Linux Enterprise Produktvarianten Software Development Kit 12 SP2 und 12 SP3, Server for SAP 12 SP1, Server for Raspberry Pi 12 SP2, Server 12 SP1 LTSS, 12 SP2 und 12 SP3 sowie Desktop 12 SP2 und 12 SP3 stehen Sicherheitsupdates für BIND bereit, um die Schwachstelle zu beheben und zwei Fehlerkorrekturen vorzunehmen.
Version 7 (2018-02-01 10:30)
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate zur Behebung der Schwachstelle zur Verfügung über welches auch zwei nicht sicherheitsrelevante Korrekturen umgesetzt werden.
Version 8 (2018-02-05 13:47)
Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4, Server 11 SP4 und 11 SP3 LTSS sowie Debuginfo 11 SP4 und 11 SP3 stehen Sicherheitsupdates für 'bind' bereit, um die Schwachstelle zu beheben.
Version 9 (2018-03-13 10:34)
Für Red Hat Enterprise Linux 6.4, 6.5, 6.6 und 7.2 Advanced Update Support (AUS), Red Hat Enterprise Linux 6.6, 7.2 und 7.3 Telco Extended Update Support (TUS), Red Hat Enterprise Linux 6.7 und 7.3 Extended Update Support (EUS) sowie für Red Hat Enterprise Linux Server - 4 Year Extended Update Support 7.2 und 7.3 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'bind' zur Verfügung.

Betroffene Software

Server

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle

Beschreibung:

Eine Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffes und dadurch Kontrolle über die Verfügbarkeit des DNS-Servers. Hierdurch schränkt der Angreifer auch für andere Benutzer, welche diesen DNS-Server verwenden, die Verfügbarkeit von Webseiten ein, da URLs nicht mehr in eine korrespondierende IP-Adresse übersetzt werden können und somit diese Webseiten nicht erreichbar sind.

ISC stellt die BIND Versionen 9.9.11-P1, 9.10.6-P1 und 9.11.2-P1 sowie die Supported Preview Edition Versionen 9.9.11-S2 und 9.10.6-S2 als Sicherheitsupdates zur Behebung der Schwachstelle zur Verfügung.

Debian stellt Backport-Sicherheitsupdates für die Distributionen Jessie (oldstable) 8.10 und Stretch (stable) 9.3 zur Behebung der Schwachstelle bereit.

Canonical stellt für die Distributionen Ubuntu 17.10, Ubuntu 16.04 LTS, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS (ESM) ebenfalls Backport-Sicherheitsupdates bereit.

Schwachstellen:

CVE-2017-3145

Schwachstelle in ISC BIND ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.