2024-0375: ISC BIND: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe

Historie:

Version 1 (2024-02-13 18:20): Neues Advisory
Version 2 (2024-02-14 07:02): Canonical stellt für Ubuntu 23.10 und Ubuntu 22.04 LTS Sicherheitsupdates für 'bind9' bereit, womit alle hier referenzierten Schwachstellen mit Ausnahme von CVE-2023-6516 adressiert werden, welche nur den Versionszweig 9.16 betrifft.
Version 3 (2024-02-15 10:41): Für Debian 11 Bullseye (oldstable) steht Version 1:9.16.48-1 und für Debian 12 Bookworm (stable) steht Version 1:9.18.24-1 als Sicherheitsupdate zur Behebung der Schwachstellen in 'bind9' zur Verfügung.
Version 4 (2024-02-19 08:19): Für Fedora 38 und 39 stehen Sicherheitsupdates in Form von 'bind-9.18.24-1'- und 'bind9-next-9.19.21-1'-Paketen bereit, um die Schwachstellen zu beheben. Das Paket 'bind-9.18.24-1.fc39' befindet sich bereits im Status 'stable', während die anderen noch im Status 'testing' sind.
Version 5 (2024-02-20 08:38): Canonical stellt für Ubuntu 20.04 LTS ein Sicherheitsupdate für 'bind9' bereit, womit alle hier referenzierten Schwachstellen mit Ausnahme von CVE-2023-5679 adressiert werden.
Version 6 (2024-02-21 15:41): Für Basesystem Module 15 SP5, openSUSE Leap 15.5, Server Applications Module 15 SP5, SUSE Linux Enterprise Desktop 15 SP5, SUSE Linux Enterprise High Performance Computing 15 SP5, SUSE Linux Enterprise Real Time 15 SP5, SUSE Linux Enterprise Server 15 SP5 und SUSE Linux Enterprise Server for SAP Applications 15 SP5 stehen Sicherheitsupdates für 'bind' auf Version 9.16.48 bereit, um die Schwachstellen zu beheben.
Version 7 (2024-02-23 08:45): Für openSUSE Leap 15.4, SUSE Linux Enterprise Desktop 15 SP4 LTSS, SUSE Linux Enterprise High Performance Computing 15 SP4 und 15 SP4 ESPOS / LTSS, SUSE Linux Enterprise Server 15 SP4 und 15 SP4 LTSS, SUSE Linux Enterprise Server for SAP Applications 15 SP4 sowie SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3 und SUSE Manager Server 4.3 stehen Sicherheitsupdates für 'bind' auf Version 9.16.48 bereit, um die Schwachstellen zu beheben.
Version 8 (2024-04-03 10:58): Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 8.6 und 8.8 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.6 und 8.8 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 8.6 (x86_64) sowie Red Hat Enterprise Linux Server - TUS 8.6 und 8.8 (x86_64) stehen Sicherheitsupdates für 'bind9.16' bereit, um die Schwachstellen zu beheben.
Version 9 (2024-04-11 17:20): Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 8 (x86_64, aarch64) und Red Hat Enterprise Linux for x86_64 / ARM 64 8 (x86_64, aarch64) stehen Sicherheitsupdates für 'bind9.16' bereit, um die Schwachstellen zu beheben.
Version 10 (2024-04-12 09:19): Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 9 (x86_64, aarch64) und Red Hat Enterprise Linux for x86_64 / ARM 64 9 (x86_64, aarch64) stehen Sicherheitsupdates für 'bind' bereit, um die Schwachstellen zu beheben.
Version 11 (2024-04-12 11:40): Für Oracle Linux 9 (x86_64, aarch64) steht ein korrespondierendes Sicherheitsupdate für 'bind' bereit.
Version 12 (2024-04-12 11:49): Für Oracle Linux 8 (x86_64, aarch64) steht ein korrespondierendes Sicherheitsupdate für 'bind9.16' bereit.
Version 13 (2024-04-15 10:30): Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 9.0 und 9.2 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 9.0 und 9.2 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 9.2 (x86_64) sowie Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.0 und 9.2 (aarch64) stehen Sicherheitsupdates für 'bind' und 'bind-dyndb-ldap' bereit, um die Schwachstellen zu beheben.
Version 14 (2024-05-02 12:49): Für CodeReady Linux Builder 9 (x86_64, aarch64), Red Hat CodeReady Linux Builder - Extended Update Support 9.4 (x86_64, aarch64), Red Hat Enterprise Linux 9 (x86_64, aarch64), Red Hat Enterprise Linux - Extended Update Support 9.4 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 9.4 (x86_64) sowie Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.4 (aarch64) stehen Sicherheitsupdates für 'bind' bereit, um die Schwachstellen zu beheben.
Version 15 (2024-05-08 11:09): Für Oracle Linux 9 (x86_64, aarch64) stehen Sicherheitsupdates für 'bind' bereit, um die Schwachstellen zu beheben.
Version 16 (2024-06-05 12:11): IBM informiert in seinem Sicherheitshinweis darüber, dass ISC BIND auf AIX 7.2 und 7.3 sowie VIOS 3.1 und 4.1 von den Schwachstellen betroffen ist und stellt als Sicherheitsupdate das Archiv 'bind_fix26.tar' zur Verfügung.

Betroffene Software

Server

Betroffene Plattformen

IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Der Hersteller stellt die Sicherheitsupdates 9.16.48 und 9.18.24 bereit um die Schwachstellen zu beheben.