DFN-CERT

Advisory-Archiv

2018-1562: ISC BIND: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2018-08-09 17:40)
Neues Advisory
Version 2 (2018-08-13 12:14)
Der Hersteller hat ISC BIND Security Advisory ISC-BIND-AA-01639 (CVE-2018-5740) aktualisiert, um darauf hinzuweisen, dass es sich bei dem Zusicherungsfehler nicht um einen 'INSIST', sondern um einen 'REQUIRE' handelt. Für Fedora 27 und 28 stehen Sicherheitsupdates für 'bind' auf die Version 9.11.4-P1 im Status 'testing' bereit. Dabei wird auch der Fix von CVE-2018-5738 genannt, welche bereits mit ISC BIND 9.11.4 Release behoben wurde (siehe Fedora Security Updates FEDORA-2018-bfec61fb2f und FEDORA-2018-c0f12f789e).
Version 3 (2018-08-28 11:56)
Für Red Hat Enterprise Linux 6 und 7 sowie für Oracle Linux 6 und 7 stehen Sicherheitsupdates zur Behebung der Schwachstelle im Paket 'bind' bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise Linux (RHEL) Server, Workstation und Desktop 6 und 7, für RHEL for ARM 7 und RHEL for Scientific Computing 6 und 7 sowie für RHEL Server EUS 7.5 und RHEL EUS Compute Node 7.5 bereit.
Version 4 (2018-08-28 12:05)
Für Oracle VM 3.3 und 3.4 stehen Sicherheitsupdates für das Paket 'bind' bereit.
Version 5 (2018-08-31 10:46)
Debian veröffentlicht für Debian LTS (8.11) ein Sicherheitsupdate für 'bind9' zur Behebung der Schwachstelle.
Version 6 (2018-09-20 13:29)
Canonical veröffentlicht für Ubuntu Linux 18.04 LTS, 16.04 LTS und 14.04 LTS ein Sicherheitsupdate für 'bind9' zur Behebung der Schwachstelle.
Version 7 (2018-10-01 19:36)
Canonical veröffentlicht für Ubuntu 12.04 ESM das zu USN-3769-1 korrespondierende Sicherheitsupdate für 'bind9' zur Behebung der Schwachstelle.

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in ISC BIND auf rekursiven Servern, bei denen 'deny-answer-aliases' aktiviert ist, ausnutzen, um die Ausführung des 'named'-Prozesses zu unterbrechen (Denial-of-Service, DoS).

Der Hersteller informiert über die Schwachstelle und stellt BIND in den Versionen 9.9.13-P1, 9.10.8-P1, 9.11.4-P1 und 9.12.2-P1 sowie BIND Supported Preview Edition 9.11.3-S3 als Sicherheitsupdates zur Verfügung. In den Release Notes werden weitere Schwachstellen aufgeführt, die bereits mit den jeweiligen Basisversionen (ISC BIND 9.9.13, 9.10.8, 9.11.4 und 9.12.2) behoben wurden.

Schwachstellen:

CVE-2018-5740

Schwachstelle in ISC BIND ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.