Abo
  • Services:
Anzeige
Die französische Sicherheitsbehörde ANSSI warnt vor einer DNS-Sicherheitslücke.
Die französische Sicherheitsbehörde ANSSI warnt vor einer DNS-Sicherheitslücke. (Bild: ANSSI)

DNS-Server: Sicherheitslücke in BIND, Unbound und PowerDNS

Die französische Sicherheitsbehörde ANSSI warnt vor einer DNS-Sicherheitslücke.
Die französische Sicherheitsbehörde ANSSI warnt vor einer DNS-Sicherheitslücke. (Bild: ANSSI)

Durch geschickt konfigurierte DNS-Records lassen sich DNS-Resolver in eine Endlosschleife versetzen. Dieselbe Lücke betrifft gleich drei populäre DNS-Server.

Anzeige

Die Entwickler der DNS-Server PowerDNS, Unbound und BIND haben Warnungen vor einer Sicherheitslücke veröffentlicht. Alle drei sind vom selben Problem betroffen: Durch die Delegation-Funktion von DNS können sich die Server in einer Endlosschleife verfangen. Dadurch lässt sich der Betrieb der DNS-Server lahmlegen. Entdeckt wurde das Problem von Florian Maury, einem Mitarbeiter der französischen Behörde ANSSI (Agence nationale de la sécurité des systèmes d'information).

Die Delegation-Funktion von DNS dient dazu, dass ein DNS-Server die Zuständigkeit für eine bestimmte Subdomain an einen weiteren DNS-Server weiterreichen kann. Das Problem: Diese Weiterreichungen können bei den betroffenen Programmen ohne jegliche Limits stattfinden. Durch eine bösartig konfigurierte Domain kann sich somit ein DNS-Resolver in einer Endlosschleife verfangen. Eine Ausführung von bösartigem Code ist damit nicht möglich, die Lücke kann lediglich dazu führen, dass ein DNS-Server überlastet wird und für legitime Anfragen nicht mehr erreichbar ist.

Da die Sicherheitslücke in drei verschiedenen Programmen entdeckt wurde, sind möglicherweise weitere DNS-Resolver davon betroffen. Nicht betroffen ist der DNS-Server djbdns.

Die Entwickler von PowerDNS hatten bereits unabhängig von dem Bericht der ANSSI ein Limit für die Weiterleitungen eingeführt. Der Anlass dafür war, dass die Entwickler auf eine fehlerhaft konfigurierte Domain gestoßen sind, die ein ähnliches Problem ausgelöst hat. Für BIND und Unbound wurden ebenfalls korrigierte Versionen mit einem Limit für die Delegations veröffentlicht.

Wer einen der entsprechenden DNS-Server als Resolver betreibt, sollte seine Software umgehend aktualisieren. In Unbound ist das Problem in der Version 1.5.1 behoben, im PowerDNS-Recursor in der Version 3.6.2. BIND hat das Problem zusammen mit einer weiteren Sicherheitslücke in der GeoIP-Funktion in den Versionen 9.10.1-p1 und 9.9.6-P1 behoben. Die jeweiligen Sicherheitslücken haben die IDs CVE-2014-8500 (BIND), CVE-204-8601 (PowerDNS) und CVE-2014-8602 (Unbound) erhalten. Die unabhängig davon in BIND entdeckte GeoIP-Lücke hat die ID CVE-2014-8680.


eye home zur Startseite
ITsMe 10. Dez 2014

Das Problem ist nicht das er fehler hat (sonst könnte man keine software mehr...



Anzeige

Stellenmarkt
  1. Deutsche Post DHL Group, Bonn
  2. Daimler AG, Böblingen
  3. über Ratbacher GmbH, Raum Münster
  4. Wanzl Metallwarenfabrik GmbH, Leipheim


Anzeige
Spiele-Angebote
  1. 69,99€
  2. 12,99€
  3. (-15%) 25,49€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. RSSB und Thales

    Zugeinstieg per Bluetooth-Ticket

  2. Bundesnetzagentur

    Puppenverbot gefährdet das Smart Home und Bastler

  3. Amazon Fire TV

    Die Rückkehr der Prime-Banderole

  4. Fire TV Stick 2 mit Alexa im Hands on

    Amazons attraktiver Einstieg in die Streaming-Welt

  5. Snap Spectacles

    Snap verkauft Sonnenbrille mit Kamera für 130 US-Dollar

  6. Status-Updates

    Whatsapp greift mit vergänglichem Status Snapchat an

  7. Megaupload

    Dotcom droht bei Auslieferung volle Anklage in den USA

  8. PC-Markt

    Unternehmen geben deutschen PC-Käufen einen Schub

  9. Ungepatchte Sicherheitslücke

    Google legt sich erneut mit Microsoft an

  10. Torus

    CoreOS gibt weitere Eigenentwicklung auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
München: Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
München
Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Pure Audio: Blu-ray-Audioformate kommen nicht aus der Nische
Pure Audio
Blu-ray-Audioformate kommen nicht aus der Nische

Prey angespielt: Das Monster aus der Kaffeetasse
Prey angespielt
Das Monster aus der Kaffeetasse
  1. Bethesda Softworks Prey bedroht die Welt im Mai 2017
  2. Ausblicke Abenteuer in Andromeda und Galaxy

  1. Re: Netflix ist die absolute Frechheit!

    PiranhA | 11:01

  2. Re: Genau wie die Steam Machines, der Steam...

    laZee | 11:01

  3. Re: Schulungskosten seien für beide Systeme...

    taudorinon | 11:00

  4. Re: Warum kann man es nicht gleich in den...

    PiranhA | 10:58

  5. Re: Schuldfrage?

    gadthrawn | 10:57


  1. 10:54

  2. 09:06

  3. 08:05

  4. 08:00

  5. 07:27

  6. 07:12

  7. 18:33

  8. 17:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel