2018-1934: ISC BIND: Eine Schwachstelle ermöglicht die Eskalation von Privilegien

Historie:

Version 1 (2018-09-27 11:58)

Neues Advisory

Version 2 (2019-08-07 18:48)

Für Red Hat Enterprise Linux 7 stehen Sicherheitsupdates für 'bind' bereit. Die Updates stehen damit unter anderem für die Produktvarianten Red Hat Enterprise Linux for Scientific Computing, Desktop, Server und Workstation in Version 7 zur Verfügung.

Version 3 (2022-02-04 08:30)

Für Oracle Linux 6 (i386, x86_64) stehen Sicherheitsupdates für 'bind' zur Verfügung.

Betroffene Software

Server

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein Angreifer mit der Berechtigung, Einträge auf dem Server zu modifizieren, kann eine Schwachstelle in ISC BIND aus der Ferne ausnutzen, um Einträge zu ändern, die er laut Dokumentation der Software nicht manipulieren darf.

Der Hersteller informiert über die Schwachstelle in ISC BIND 9 und gibt an, dass mit BIND 9.11.5 und 9.12.3 neue Regeltypen in der Funktionalität 'update-policy' eingeführt werden, die dem bisherigen, falsch dokumentierten Verhalten von 'krb5-subdomain' und 'ms-subdomain' entsprechen. Es wird keine Aktualisierung des Programmcodes in Aussicht gestellt.

Für Fedora 27 und 28 stehen Sicherheitsupdates für 'bind' im Status 'testing' bereit, mit denen die Dokumentation korrigiert wird.

Schwachstellen:

CVE-2018-5741

Schwachstelle in ISC BIND ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.