Abo
  • IT-Karriere:

DNS-Server: Sicherheitslücke in BIND, Unbound und PowerDNS

Durch geschickt konfigurierte DNS-Records lassen sich DNS-Resolver in eine Endlosschleife versetzen. Dieselbe Lücke betrifft gleich drei populäre DNS-Server.

Artikel veröffentlicht am , Hanno Böck
Die französische Sicherheitsbehörde ANSSI warnt vor einer DNS-Sicherheitslücke.
Die französische Sicherheitsbehörde ANSSI warnt vor einer DNS-Sicherheitslücke. (Bild: ANSSI)

Die Entwickler der DNS-Server PowerDNS, Unbound und BIND haben Warnungen vor einer Sicherheitslücke veröffentlicht. Alle drei sind vom selben Problem betroffen: Durch die Delegation-Funktion von DNS können sich die Server in einer Endlosschleife verfangen. Dadurch lässt sich der Betrieb der DNS-Server lahmlegen. Entdeckt wurde das Problem von Florian Maury, einem Mitarbeiter der französischen Behörde ANSSI (Agence nationale de la sécurité des systèmes d'information).

Stellenmarkt
  1. WEMAG AG, Schwerin
  2. JOSEPH VÖGELE AG, Ludwigshafen

Die Delegation-Funktion von DNS dient dazu, dass ein DNS-Server die Zuständigkeit für eine bestimmte Subdomain an einen weiteren DNS-Server weiterreichen kann. Das Problem: Diese Weiterreichungen können bei den betroffenen Programmen ohne jegliche Limits stattfinden. Durch eine bösartig konfigurierte Domain kann sich somit ein DNS-Resolver in einer Endlosschleife verfangen. Eine Ausführung von bösartigem Code ist damit nicht möglich, die Lücke kann lediglich dazu führen, dass ein DNS-Server überlastet wird und für legitime Anfragen nicht mehr erreichbar ist.

Da die Sicherheitslücke in drei verschiedenen Programmen entdeckt wurde, sind möglicherweise weitere DNS-Resolver davon betroffen. Nicht betroffen ist der DNS-Server djbdns.

Die Entwickler von PowerDNS hatten bereits unabhängig von dem Bericht der ANSSI ein Limit für die Weiterleitungen eingeführt. Der Anlass dafür war, dass die Entwickler auf eine fehlerhaft konfigurierte Domain gestoßen sind, die ein ähnliches Problem ausgelöst hat. Für BIND und Unbound wurden ebenfalls korrigierte Versionen mit einem Limit für die Delegations veröffentlicht.

Wer einen der entsprechenden DNS-Server als Resolver betreibt, sollte seine Software umgehend aktualisieren. In Unbound ist das Problem in der Version 1.5.1 behoben, im PowerDNS-Recursor in der Version 3.6.2. BIND hat das Problem zusammen mit einer weiteren Sicherheitslücke in der GeoIP-Funktion in den Versionen 9.10.1-p1 und 9.9.6-P1 behoben. Die jeweiligen Sicherheitslücken haben die IDs CVE-2014-8500 (BIND), CVE-204-8601 (PowerDNS) und CVE-2014-8602 (Unbound) erhalten. Die unabhängig davon in BIND entdeckte GeoIP-Lücke hat die ID CVE-2014-8680.



Anzeige
Spiele-Angebote
  1. 149,99€ (Release noch nicht bekannt)
  2. 2,99€
  3. 4,99€

ITsMe 10. Dez 2014

Das Problem ist nicht das er fehler hat (sonst könnte man keine software mehr...


Folgen Sie uns
       


Sony Xperia 1 - Test

Das Xperia 1 eignet sich dank seines breiten OLED-Displays hervorragend zum Filmeschauen. Im Test zeigt Sonys neues Smartphone aber noch weitere Stärken.

Sony Xperia 1 - Test Video aufrufen
Noise Cancelling Headphones 700 im Test: Boses bester ANC-Kopfhörer sticht Sony vielfach aus
Noise Cancelling Headphones 700 im Test
Boses bester ANC-Kopfhörer sticht Sony vielfach aus

Bose schafft mit seinen neuen Noise Cancelling Headphones 700 eine fast so gute Geräuschreduzierung wie Sony und ist in manchen Punkten sogar besser. Die Kopfhörer haben uns beim Testen aber auch mal genervt.
Ein Test von Ingo Pakalski

  1. Bose Frames im Test Sonnenbrille mit Musik
  2. Noise Cancelling Headphones 700 ANC-Kopfhörer von Bose versprechen tollen Klang
  3. Frames Boses Audio-Sonnenbrille kommt für 230 Euro nach Deutschland

Faire IT: Die grüne Challenge
Faire IT
Die grüne Challenge

Kann man IT-Produkte nachhaltig gestalten? Drei Startups zeigen, dass es nicht so einfach ist, die grüne Maus oder das faire Smartphone auf den Markt zu bringen.
Von Christiane Schulzki-Haddouti

  1. Smartphones Samsung und Xiaomi profitieren in Europa von Huawei-Boykott
  2. Smartphones Xiaomi ist kurz davor, Apple zu überholen
  3. Niederlande Notrufnummer fällt für mehrere Stunden aus

Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

    •  /