Alvorlig sikkerhetshull oppdaget i navnetjenere

ISS varslet tirsdag at det er blitt oppdaget tre nye sikkerhetshull i BIND, den mest utbredte programvaren i navnetjenerne på Internett. En patch er underveis.

De tre nye sikkerhetshullene i BIND-serveren (Berkeley Internet Name Domain) er alle alvorlige, men ifølge ISS er det foreløpig ikke blitt meldt om angrep eller programvare som utnytter dem (exploits).

Et av hullene, BIND SIG Cached RR Overflow Vulnerability, gjør det mulig for en angriper å eksekvere vilkårlig kode på serveren som angripes, med de samme privilegier som DNS-programvaren Named har. Dette skyldes en feil i måten BIND oppretter DNS-responser som inneholder SIG resource records (RR). Dette hullet eksisterer i både BIND 4 og BIND 8.

De to andre hullene som eksisterer i BIND 8 i versjoner mellom 8.3.0 og 8.3.3 åpner for tjenestenektangrep (DoS).

Ansvarlig for sikkerhetsinformasjon i danske Secunia, Thomas Kristensen, forteller til digi.no at disse hullene kan utnyttes av en Internett-orm som går fra server til server. Kristensen sammenligner situasjonen med den som oppsto med Microsoft IIS i fjor sommer, da Code Red-ormen herjet som verst.

- Men denne gangen har alt for en gang skyld skjedd på en ordentlig måte, sier Kristensen, og sikter til at patcher som tetter igjen hullene var klare før noen har greid å utnytte dem.
Internet Software Consortium lover å kunne legge ut oppdaterte versjoner av BIND 4 og BIND 8 om kort tid. Disse vil bli å finne på denne siden: ISC Bind-security. Det finnes likevel midlertidige løsninger:

Ifølge ISS kan man i BIND 8 legge inn eller endre det følgende i named.conf-filen:

options {
recursion no;
};

I BIND 4 kan man legge inn eller endre det følgende i named.boot-filen:

options no-recursion

Secunia anbefaler at alle DNS-servere dessuten bør kjøres i et chroot-fengsel, noe som vil begrense skaden hvis serveren blir kompromittert.

Det er også slik at BIND 9 ikke er sårbar, og ifølge Secunia skal det være relativt enkelt å oppgradere til denne fra BIND 8. Også en oppgradering fra BIND 4 burde ifølge selskapet kunne la seg gjøre. BIND 9.2.1 er utgaven som anbefales av ISC:

Til toppen