Abo
  • IT-Karriere:

DNS-Server: Sicherheitslücke in BIND, Unbound und PowerDNS

Durch geschickt konfigurierte DNS-Records lassen sich DNS-Resolver in eine Endlosschleife versetzen. Dieselbe Lücke betrifft gleich drei populäre DNS-Server.

Artikel veröffentlicht am , Hanno Böck
Die französische Sicherheitsbehörde ANSSI warnt vor einer DNS-Sicherheitslücke.
Die französische Sicherheitsbehörde ANSSI warnt vor einer DNS-Sicherheitslücke. (Bild: ANSSI)

Die Entwickler der DNS-Server PowerDNS, Unbound und BIND haben Warnungen vor einer Sicherheitslücke veröffentlicht. Alle drei sind vom selben Problem betroffen: Durch die Delegation-Funktion von DNS können sich die Server in einer Endlosschleife verfangen. Dadurch lässt sich der Betrieb der DNS-Server lahmlegen. Entdeckt wurde das Problem von Florian Maury, einem Mitarbeiter der französischen Behörde ANSSI (Agence nationale de la sécurité des systèmes d'information).

Stellenmarkt
  1. LexCom Informationssysteme GmbH, München
  2. Rodenstock GmbH, Regen

Die Delegation-Funktion von DNS dient dazu, dass ein DNS-Server die Zuständigkeit für eine bestimmte Subdomain an einen weiteren DNS-Server weiterreichen kann. Das Problem: Diese Weiterreichungen können bei den betroffenen Programmen ohne jegliche Limits stattfinden. Durch eine bösartig konfigurierte Domain kann sich somit ein DNS-Resolver in einer Endlosschleife verfangen. Eine Ausführung von bösartigem Code ist damit nicht möglich, die Lücke kann lediglich dazu führen, dass ein DNS-Server überlastet wird und für legitime Anfragen nicht mehr erreichbar ist.

Da die Sicherheitslücke in drei verschiedenen Programmen entdeckt wurde, sind möglicherweise weitere DNS-Resolver davon betroffen. Nicht betroffen ist der DNS-Server djbdns.

Die Entwickler von PowerDNS hatten bereits unabhängig von dem Bericht der ANSSI ein Limit für die Weiterleitungen eingeführt. Der Anlass dafür war, dass die Entwickler auf eine fehlerhaft konfigurierte Domain gestoßen sind, die ein ähnliches Problem ausgelöst hat. Für BIND und Unbound wurden ebenfalls korrigierte Versionen mit einem Limit für die Delegations veröffentlicht.

Wer einen der entsprechenden DNS-Server als Resolver betreibt, sollte seine Software umgehend aktualisieren. In Unbound ist das Problem in der Version 1.5.1 behoben, im PowerDNS-Recursor in der Version 3.6.2. BIND hat das Problem zusammen mit einer weiteren Sicherheitslücke in der GeoIP-Funktion in den Versionen 9.10.1-p1 und 9.9.6-P1 behoben. Die jeweiligen Sicherheitslücken haben die IDs CVE-2014-8500 (BIND), CVE-204-8601 (PowerDNS) und CVE-2014-8602 (Unbound) erhalten. Die unabhängig davon in BIND entdeckte GeoIP-Lücke hat die ID CVE-2014-8680.



Anzeige
Spiele-Angebote
  1. 1,24€
  2. 2,99€
  3. 2,99€
  4. (-71%) 11,50€

ITsMe 10. Dez 2014

Das Problem ist nicht das er fehler hat (sonst könnte man keine software mehr...


Folgen Sie uns
       


Noctuas passiver CPU-Kühler (Computex 2019)

Noctua zeigt den ersten passiven CPU-Kühler, welcher sogar einen achtkernigen Core i9-9900K auf Temperatur halten kann.

Noctuas passiver CPU-Kühler (Computex 2019) Video aufrufen
Minecraft Dungeons angespielt: Fehlt nur noch ein Klötzchen-Diablo in der Tiefe
Minecraft Dungeons angespielt
Fehlt nur noch ein Klötzchen-Diablo in der Tiefe

E3 2019 Von der Steuerung bis zu den Schatzkisten: Minecraft Dungeons hat uns beim Anspielen bis auf die Klötzchengrafik verblüffend stark an Diablo erinnert - und könnte gerade deshalb teuflisch spaßig werden!

  1. Augmented Reality Minecraft Earth erlaubt Klötzchenbauen in aller Welt
  2. Microsoft Augmented-Reality-Minecraft kommt zum zehnten Jubiläum
  3. Jubiläum ohne Notch Microsoft feiert Minecraft ohne Markus Persson

WD Blue SN500 ausprobiert: Die flotte günstige Blaue
WD Blue SN500 ausprobiert
Die flotte günstige Blaue

Mit der WD Blue SN500 bietet Western Digital eine spannende NVMe-SSD an: Das M.2-Kärtchen basiert auf einem selbst entwickelten Controller und eigenem Flash-Speicher. Das Resultat ist ein schnelles, vor allem aber günstiges Modell als bessere Alternative zu Sata-SSDs.
Von Marc Sauter

  1. WD Black SN750 ausprobiert Direkt hinter Samsungs SSDs
  2. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
  3. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte

5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
5G-Auktion
Warum der Preis der 5G-Frequenzen so hoch war

Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
Eine Analyse von Achim Sawall

  1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
  2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
  3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

    •  /