DFN-CERT

Advisory-Archiv

2021-0375: ISC BIND: Eine Schwachstelle ermöglicht u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2021-02-18 12:14)
Neues Advisory
Version 2 (2021-02-19 09:31)
Der Hersteller weist darauf hin, dass es nach dem Update auf BIND 9.16.12 und 9.16.12-S1 zu Serverabstürzen kommen kann, wenn die neue Konfiguration 'stale-answer-client-timeout' auf eine Client-Anfrage angewendet wird. Es stehen verschiedene Workarounds zur Verfügung, bis ein Patch für das Problem bereitsteht (Referenz anbei). Canonical stellt für Ubuntu 20.10, Ubuntu 20.04 LTS, Ubuntu 18.04 und Ubuntu 16.04 LTS Sicherheitsupdates für 'bind9' zur Behebung der Schwachstelle bereit. Für 'bind9' für Debian 10 Buster (stable) steht das Sicherheitsupdate ebenfalls zur Verfügung. Für SUSE Container-as-a-Service Platform 4.0, SUSE Enterprise Storage 6, SUSE Linux Enterprise Debuginfo 11 SP3 und SP4, SUSE Linux Enterprise High Performance Computing 15 und 15 SP1 ESPOS und LTSS, SUSE Linux Enterprise Module for Basesystem 15 SP2, SUSE Linux Enterprise Module for Server Applications 15 SP2, SUSE Linux Enterprise Server 11 SP4 LTSS, 12 SP2 und SP3 BCL und LTSS, 12 SP4 LTSS, 12 SP5, 15 LTSS, 15 SP1 BCL und LTSS, SUSE Linux Enterprise Server for SAP 12 SP2, 12 SP3, 12 SP4, 15 und 15 SP1, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Manager Proxy und Server 4.0, SUSE OpenStack Cloud 7, 8 und 9 sowie Crowbar 8 und 9, stehen weitere Sicherheitsupdates für 'bind' bereit, um die Schwachstelle zu beheben.
Version 3 (2021-02-19 11:51)
Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'bind9' zur Verfügung, um die Schwachstelle zu beheben.
Version 4 (2021-02-22 09:23)
Für Fedora 32 und 33 stehen Sicherheitsupdates in Form der Pakete 'bind-9.11.28-1.fc32' und 'bind-9.11.28-1.fc33' im Status 'testing' bereit, um die Schwachstelle zu beheben.
Version 5 (2021-02-22 09:38)
Der Hersteller weist darauf hin, dass nach dem Update auf BIND 9.16.12 und 9.16.12-S1 das alte Journal-Dateiformat nicht mehr verwendet werden kann. Bei nach dem Update gestarteten Instanzen, die auf eine alte JNL-Datei zugreifen, schlägt das Laden der Zonen fehl. Das Problem betrifft BIND-Server, deren authoritative Zonen über dynamische Updates verwaltet werden und solche, bei denen eine Zonendatei geändert und mit der aktivierten Option 'ixfr-from-differences' erneut eingelesen wird. Sekundäre Zonen, die über inkrementelle Updates (IXFR) verwaltet werden, sind ebenso betroffen. Der Hersteller beschreibt verschiedene Workarounds (Referenz anbei) und gibt an, dass das Problem mit dem für den 17. März vorgesehenen Update behoben werden soll.
Version 6 (2021-03-02 10:07)
Canonical stellt für Ubuntu 14.04 ESM und Ubuntu 12.04 Sicherheitsupdates für 'bind9' zur Behebung der Schwachstelle bereit.
Version 7 (2021-03-02 11:27)
Für Oracle Linux 7 und 8 sowie für Red Hat Enterprise Linux 6 ELS (Extended Lifecycle Support), 7, 8 und 8.1 EUS (Extended Update Support) stehen Sicherheitsupdates für 'bind' zur Verfügung, um die Schwachstelle zu beheben.
Version 8 (2021-03-03 17:28)
Für openSUSE Leap 15.2 steht ein Sicherheitsupdate bereit, um die Schwachstelle zu beheben.
Version 9 (2021-03-04 12:36)
Für Red Hat Enterprise Linux 7.2 Advanced Update Support, 7.3 Advanced Update Support sowie 7.4 Advanced Update Support und 7.4 Telco Extended Update Support stehen Sicherheitsupdates für 'bind' zur Verfügung, um die Schwachstelle zu beheben.
Version 10 (2021-03-04 12:47)
Für Red Hat Enterprise Linux 7.6 Extended Update Support stehen ebenfalls Sicherheitsupdates für 'bind' zur Verfügung, um die Schwachstelle zu beheben.
Version 11 (2021-03-04 17:46)
Für Red Hat Enterprise Linux 7.7 Extended Update Support stehen ebenfalls Sicherheitsupdates für 'bind' zur Verfügung, um die Schwachstelle zu beheben.
Version 12 (2021-03-18 08:21)
Für Oracle Linux 6 und Red Hat Enterprise Linux 8.2 Extended Update Support stehen Sicherheitsupdates für 'bind' zur Verfügung, um die Schwachstelle zu beheben.

Betroffene Software

Server

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen und möglicherweise beliebigen Programmcode zur Ausführung zu bringen.

Der Hersteller informiert über die Schwachstelle und veröffentlicht die Versionen 9.11.28 und 9.16.12 als Sicherheitsupdates, um die Schwachstellen zu beheben. Für die Supported Preview Edition stehen die Versionen 9.11.28 S1 und 9.16.12 S1 als Sicherheitsupdates zur Verfügung.

Schwachstellen:

CVE-2020-8625

Schwachstelle in ISC BIND ermöglicht u. a. einen Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.