• IT-Karriere:
  • Services:

DNS-Server: Sicherheitslücke in BIND, Unbound und PowerDNS

Durch geschickt konfigurierte DNS-Records lassen sich DNS-Resolver in eine Endlosschleife versetzen. Dieselbe Lücke betrifft gleich drei populäre DNS-Server.

Artikel veröffentlicht am , Hanno Böck
Die französische Sicherheitsbehörde ANSSI warnt vor einer DNS-Sicherheitslücke.
Die französische Sicherheitsbehörde ANSSI warnt vor einer DNS-Sicherheitslücke. (Bild: ANSSI)

Die Entwickler der DNS-Server PowerDNS, Unbound und BIND haben Warnungen vor einer Sicherheitslücke veröffentlicht. Alle drei sind vom selben Problem betroffen: Durch die Delegation-Funktion von DNS können sich die Server in einer Endlosschleife verfangen. Dadurch lässt sich der Betrieb der DNS-Server lahmlegen. Entdeckt wurde das Problem von Florian Maury, einem Mitarbeiter der französischen Behörde ANSSI (Agence nationale de la sécurité des systèmes d'information).

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. Diehl Defence GmbH & Co. KG, Überlingen am Bodensee

Die Delegation-Funktion von DNS dient dazu, dass ein DNS-Server die Zuständigkeit für eine bestimmte Subdomain an einen weiteren DNS-Server weiterreichen kann. Das Problem: Diese Weiterreichungen können bei den betroffenen Programmen ohne jegliche Limits stattfinden. Durch eine bösartig konfigurierte Domain kann sich somit ein DNS-Resolver in einer Endlosschleife verfangen. Eine Ausführung von bösartigem Code ist damit nicht möglich, die Lücke kann lediglich dazu führen, dass ein DNS-Server überlastet wird und für legitime Anfragen nicht mehr erreichbar ist.

Da die Sicherheitslücke in drei verschiedenen Programmen entdeckt wurde, sind möglicherweise weitere DNS-Resolver davon betroffen. Nicht betroffen ist der DNS-Server djbdns.

Die Entwickler von PowerDNS hatten bereits unabhängig von dem Bericht der ANSSI ein Limit für die Weiterleitungen eingeführt. Der Anlass dafür war, dass die Entwickler auf eine fehlerhaft konfigurierte Domain gestoßen sind, die ein ähnliches Problem ausgelöst hat. Für BIND und Unbound wurden ebenfalls korrigierte Versionen mit einem Limit für die Delegations veröffentlicht.

Wer einen der entsprechenden DNS-Server als Resolver betreibt, sollte seine Software umgehend aktualisieren. In Unbound ist das Problem in der Version 1.5.1 behoben, im PowerDNS-Recursor in der Version 3.6.2. BIND hat das Problem zusammen mit einer weiteren Sicherheitslücke in der GeoIP-Funktion in den Versionen 9.10.1-p1 und 9.9.6-P1 behoben. Die jeweiligen Sicherheitslücken haben die IDs CVE-2014-8500 (BIND), CVE-204-8601 (PowerDNS) und CVE-2014-8602 (Unbound) erhalten. Die unabhängig davon in BIND entdeckte GeoIP-Lücke hat die ID CVE-2014-8680.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 109€ (auch bei Saturn & Media Markt)
  2. (u. a. Samsung 860 QVO 1 TB für 99,90€, Samsung 860 QVO 2 TB für 199,99€, Samsung Protable...

ITsMe 10. Dez 2014

Das Problem ist nicht das er fehler hat (sonst könnte man keine software mehr...


Folgen Sie uns
       


Wo bleiben die E-Flugzeuge? (Interview mit Rolf Henke vom DLR)

Wir haben den Bereichsvorstand Luftfahrt beim DLR gefragt, was Alternativen zum herkömmlichen Flugzeug so kompliziert macht.

Wo bleiben die E-Flugzeuge? (Interview mit Rolf Henke vom DLR) Video aufrufen
Golem Akademie: IT-Sicherheit für Webentwickler als Live-Webinar
Golem Akademie
"IT-Sicherheit für Webentwickler" als Live-Webinar

Wegen der Corona-Pandemie findet unser Workshop zur IT-Sicherheit für Webentwickler nicht als Präsenzseminar, sondern im Netz statt: in einem Live-Webinar Ende April mit Golem.de-Redakteur und IT-Sicherheitsexperte Hanno Böck.

  1. Golem Akademie Zeitmanagement für IT-Profis
  2. Golem Akademie IT-Sicherheit für Webentwickler
  3. In eigener Sache Golem-pur-Nutzer erhalten Rabatt für unsere Workshops

Half-Life Alyx im Test: Der erste und vielleicht letzte VR-Blockbuster
Half-Life Alyx im Test
Der erste und vielleicht letzte VR-Blockbuster

Im zweiten Half-Life war sie eine Nebenfigur, nun ist sie die Heldin: Valve schickt Spieler als Alyx ins virtuelle City 17 - toll gemacht, aber wohl ein Verkaufsflop.
Von Peter Steinlechner

  1. Actionspiel Valve rechnet mit Nicht-VR-Mod von Half-Life Alyx
  2. Half-Life Alyx angespielt Sprung für Sprung durch City 17
  3. Valve Durch Half-Life Alyx geht's laufend oder per Teleport

Coronakrise: Welche Hilfen IT-Freelancer bekommen
Coronakrise
Welche Hilfen IT-Freelancer bekommen

Das Hilfspaket des Bundes in Milliardenhöhe sieht kaum Leistungen vor, mit denen IT-Freelancer etwas anfangen können. Den Bitkom empört das nicht.
Ein Bericht von Gerd Mischler

  1. IT-Chefs aus Indien Mehr als nur ein Klischee
  2. Jobporträt Softwaretester "Ein gesunder Pessimismus hilft"
  3. Frauen in der IT Software-Entwicklung ist nicht nur Männersache

    •  /