Mehrere Schwachstellen im DNS-Server bind könnten Angreifer missbrauchen, um die verwundbaren Maschinen lahmzulegen. Frisch aktualisierte Softwarepakete beheben diese Fehler.
Angreifer könnten aus dem Netz heraus Systeme mit dem bind-DNS-Server lahmlegen, warnen das Internet Systems Consortium (ISC) und die US-amerikanische Cyber-Sicherheitsbehörde CISA.
Insbesondere vier darin steckende Schwachstellen könnten bösartige Akteure missbrauchen, um alle Speicherressourcen aufzubrauchen und damit betroffene Systeme außer Funktion zu setzen. Wir empfehlen deshalb Bind-Nutzern den umgehenden Update ihrer Nameserver.
Gefährliche Memory-Leaks
Speicherleaks im Code, der den Schlüsseltausch nach Diffie-Hellman mittels TKEY RRs beim Einsatz von OpenSSL 3.0.0 oder neuer durchführt, könnten zum Aufbrauchen der Ressourcen und in Folge zum Komplett-Absturz des named-Dienstes führen (CVE-2022-2906, CVSS 7.5, Risiko “hoch”).
Außerdem könnten bind-Server, deren Konfiguration Antworten aus dem Stale-Cache vorsehen und dabei die Option stale-answer-client-timeout auf 0 gesetzt haben, durch manipulierte Anfragen zum Absturz gebracht werden (CVE-2022-3080, CVSS 7.5, hoch).
Ein anderes Speicherleck können Angreifer mit manipulierten ECDSA-Signaturen bei der DNSSEC-Prüfung missbrauchen, umso den verfügbaren Speicher komplett aufzubrauchen und damit einen Absturz des Dienstes named zu provozieren (CVE-2022-38177, CVSS 7.5, hoch). Genau dasselbe Problem können auch präparierte EdDSA-Signaturen in der DNSSEC-Prüfung hervorrufen (CVE-2022-38178, CVSS 7.5, hoch).
Die weiteren geschlossenen Sicherheitslücken mit geringerem Risiko führt das ISC in seiner “Security Vulnerability Matrix” auf. Die gelisteten Schwachstellen säubern die bind-Versionen 9.19.5, 9.18.7 und 9.16.33. Administratoren sollten jetzt möglichst zügig eine Aktualisierung ihrer Nameserver einplanen, um die Systemstabilität durchgehend zu gewährleisten.